關於cURL加密傳輸的問題,做下記錄方便今后查閱。
提交數據到https時,需要pem證書來加密。
我們使用瀏覽器訪問https的時候,瀏覽器會自動加載網站的安全證書進行加密。但是你用curl請求https時,沒有通過瀏覽器,就只有自己手動增加一個安全證書進行加密。
private function httpGet($url) { $curl = curl_init(); curl_setopt($curl, CURLOPT_RETURNTRANSFER, true); curl_setopt($curl, CURLOPT_TIMEOUT, 500); // 為保證第三方服務器與微信服務器之間數據傳輸的安全性,所有微信接口采用https方式調用,必須使用下面2行代碼打開ssl安全校驗。 // 如果在部署過程中代碼在此處驗證失敗,請到 http://curl.haxx.se/ca/cacert.pem 下載新的證書判別文件。 curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, true); curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, true); curl_setopt($curl,CURLOPT_CAINFO,dirname(__FILE__).'/cacert.pem');//這是根據http://curl.haxx.se/ca/cacert.pem 下載的證書,添加這句話之后就運行正常了 curl_setopt($curl, CURLOPT_URL, $url); $res = curl_exec($curl); curl_close($curl); return $res; }
知識點摘要:
CURLOPT_SSL_VERIFYPEER 設置為FALSE 禁止 cURL 驗證對等證書(peer’s certificate)。要驗證的交換證書可以在 CURLOPT_CAINFO 選項中設置,或在 CURLOPT_CAPATH中設置證書目錄。
CURLOPT_CAINFO 一個保存着1個或多個用來讓服務端驗證的證書的文件名。這個參數僅僅在和CURLOPT_SSL_VERIFYPEER一起使用時才有意義。可能需要絕對路徑。
CURLOPT_CAPATH 一個保存着多個CA證書的目錄。這個選項是和CURLOPT_SSL_VERIFYPEER一起使用的。
CURLOPT_SSL_VERIFYHOST 設置為 1 是檢查服務器SSL證書中是否存在一個公用名(common name)。譯者注:公用名(Common Name)一般來講就是填寫你將要申請SSL證書的域名 (domain)或子域名(sub domain)。 設置成 2,會檢查公用名是否存在,並且是否與提供的主機名匹配。 在生產環境中,這個值應該是 2(默認值)。
CURLOPT_SSL_VERIFYHOST的值
設為0表示不檢查證書
設為1表示檢查證書中是否有CN(common name)字段
設為2表示在1的基礎上校驗當前的域名是否與CN匹配
而libcurl早期版本中這個變量是boolean值,為true時作用同目前設置為2,后來出於調試需求,增加了僅校驗是否有CN字段的選項,因此兩個值true/false就不夠用了,升級為0/1/2三個值。
再后來(libcurl_7.28.1之后的版本),這個調試選項由於經常被開發者用錯,被去掉了,因此目前也不支持1了,只有0/2兩種取值。