![](/img/trans.png)
[英]cURL unable to use client certificate (no key found or wrong pass phrase?)
[英]Curl failed with error #58: unable to use client certificate (no key found or wrong pass phrase?)
我收到此错误:致命错误:Curl失败,错误#58:无法使用客户端证书(找不到密钥或密码错误?)
我有一个脚本可以从.p12文件中提取证书信息。 我以为这是开始的问题,但是我用它来粘贴生成的.pem文件的内容: https : //www.sslshopper.com/certificate-decoder.html ,它解码/显示一切正常。 所以我认为.pem可以。
$ch = curl_init();
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSLCERT, 'cert.pem');
curl_setopt($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_post_string);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
// converting
$response = curl_exec($ch);
// converting
$response1 = str_replace("<soap:Body>","",$response);
$response2 = str_replace("</soap:Body>","",$response1);
if($response === false){
throw new Exception(curl_error($ch), curl_errno($ch));
}
pem文件是这样的:
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<key bla bla>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----–
任何建议欢迎。
谢谢
首先有几点评论:
通过使用这些设置, 您可以承受潜在的MITM攻击 :
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
通常,您通常希望VERIFYHOST=2
和VERIFYPEER=true
(无论如何应该是默认值)。 正确执行验证还意味着您将需要在CAINFO或CAPATH中设置CA证书或服务器证书。 我将在此处引用此选项的PHP / curl文档 :
可以使用CURLOPT_CAINFO选项指定要验证的备用证书,或者可以使用CURLOPT_CAPATH选项指定证书目录。
将您的私钥(您在-----BEGIN PRIVATE KEY-----
私钥-----BEGIN PRIVATE KEY-----
块中获得的)粘贴到您不太了解的远程网站中不一定是个好主意。 您的私钥旨在保持私密性。 您可以使用openssl x509
和openssl rsa
检查格式是否符合您的期望。
libcurl
有两个选项: CURLOPT_SSLCERT
和CURLOPT_SSLKEY
,分别用于证书及其私钥。 我必须承认我最近没有尝试过PHP cURL绑定,有些工具的确可以让您将cert和private key都放在同一个文件中(就像您所做的一样),但是PHP文档中的一些注释建议您可以这样做, libcurl
的文档中并未真正提到(您在这里没有使用P12格式)。 另外,libcurl本身没有记录CURLOPT_SSLCERTPASSWD
(这对于cert文件中受密码保护的密钥是有意义的),因此PHP绑定和libcurl本身可能会有一些细微差别(您会发现其他大多数选项是几乎是直接映射)。
我建议将-----BEGIN/END PRIVATE KEY-----
之间的内容移动到一个单独的文件中,并将CURLOPT_SSLKEY
指向该文件路径,并将证书(以及大概的证书链,以下证书)与当前设置。 确保证书链的顺序正确,尤其要确保第一个是您的客户证书(您具有私钥)。 您可以通过将每个-----BEGIN/END CERTIFICATE-----
块的内容粘贴到openssl x509 -text -noout
的标准输入中来检查它们的内容。 这些模块中的每一个都会为您提供主题和发行者。 带有主题X和颁发者Y的证书之后应带有主题Y和颁发者Z的证书(依此类推)。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.