php - 不推荐使用 CN_match 以支持 peer_name

Question

我正在尝试通过 SSL 将 POST 请求从一台服务器发送到 PHP 中的另一台服务器。CN_match当我在上下文选项中使用时，它可以正常工作。但是，我在错误日志中收到一条弃用消息：

不推荐使用 PHP：不推荐使用 'CN_match' SSL 上下文选项以支持 'peer_name'

问题是，如果我按照建议更改CN_match为peer_name请求完全失败并显示以下消息：

无法打开流：HTTP 请求失败！HTTP/1.1 400 错误请求。

使用无效值peer_name会导致预期错误：

对等证书 CN='localhost' 与预期的 CN='test' 不匹配

显然，当我指定“localhost”时，它匹配正确。我是否缺少使用peer_name代替时所需的其他一些配置CN_match？

使用 MAMP，PHP 5.6.27

$userdata = array(
    'action'            => 'add-user',
    'name'              => $name,
    'email'             => $email,
    'username'          => $username,
    'password'          => $password);

// use key 'http' even if you send the request to https://...
$options = array(
    'http' => array(
        'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
        'method'  => 'POST',
        'content' => http_build_query($userdata)
    ),
    'ssl' => array(
        'verify_peer'       => true,
        'cafile'            => /path/to/file.pem,
        'verify_depth'      => 5,
        'allow_self_signed' => true,
        'peer_name'         => 'localhost'
    )
);

$context  = stream_context_create($options);
$data = file_get_contents('https://localhost/add-user.php', false, $context);

Answer 1

使用 curl 是我能找到的唯一解决方案：

$url = 'https://some.domain.com/file.php';
$pem_file = '/absolute/path/to/certificate.pem';

$userdata = array(
    'action'            => 'add-user',
    'name'              => $name,
    'email'             => $email,
    'username'          => $username,
    'password'          => $password);

$curl_req = curl_init();
curl_setopt($curl_req, CURLOPT_URL, $url);
curl_setopt($curl_req, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl_req, CURLOPT_POST, true);
curl_setopt($curl_req, CURLOPT_HTTPHEADER, array('Content-type: application/x-www-form-urlencoded'));
curl_setopt($curl_req, CURLOPT_POSTFIELDS, http_build_query($userdata));
curl_setopt($curl_req, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($curl_req, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($curl_req, CURLOPT_CAINFO, $pem_file);

$response = curl_exec($curl_req);
curl_close($curl_req);

此外，我花了一段时间才弄清楚如何构建 certificate.pem 文件。您需要从您的特定证书开始并通过任何中间证书并以 CA 证书结束来堆叠证书：

-----BEGIN CERTIFICATE-----
<your site certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<intermediate certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<CA certificate>
-----END CERTIFICATE-----