file_get_contents(): SSL opération a échoué avec le code 1. Et plus

Je suis en train d'essayer d'accéder à ce service REST à partir d'une page PHP que j'ai créé sur notre serveur. J'ai réduit le problème à ces deux lignes. Donc ma page PHP qui ressemble à ceci:

<?php
$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json");

echo $response; ?>

La page meurt sur la ligne 2 avec les erreurs suivantes:

  • Warning: file_get_contents(): SSL opération a échoué avec le code 1.
    OpenSSL messages d'Erreur: erreur:14090086:SSL
    routines:SSL3_GET_SERVER_CERTIFICATE:certificat de vérifier échoué dans
    ...php on line 2

    • Warning: file_get_contents(): impossible d'activer les crypto en php sur ...
      ligne 2
    • Avertissement:
      file_get_contents(https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json):
      failed to open stream: échec de l'opération en ...php sur la ligne 2

Nous utilisons un serveur Gentoo. Nous avons récemment mis à niveau vers la version de PHP 5.6. C'est après la mise à niveau lorsque ce problème est apparu.

J'ai trouvé quand j'ai remplacer le service REST avec une adresse comme https://www.google.com; ma page fonctionne très bien.

Dans une précédente tentative, j'ai mis “verify_peer”=>false, et a passé que comme un argument de file_get_contents, comme décrit ici: file_get_contents ignorant verify_peer=>false? Mais comme l'auteur a noté; il ne fait aucune différence.

J'ai demandé à un de nos administrateurs de serveur si ces lignes dans notre php.ini fichier existe:

  • extension=php_openssl.dll
  • allow_url_fopen = On

Il m'a dit que puisque nous sommes sur Gentoo, openssl est compilé, lorsque nous construisons; et il n'est pas défini dans le php.fichier ini.

J'ai aussi confirmé que allow_url_fopen est de travail. En raison de la nature spécialisée de ce problème; je ne suis pas à trouver beaucoup d'informations pour obtenir de l'aide. N'avez-vous venir à travers quelque chose comme ça? Merci.

InformationsquelleAutor Joe | 2014-10-01
  1. 268

    C'était une énorme lien utile pour trouver:

    http://php.net/manual/en/migration56.openssl.php

    Un document officiel qui décrit les changements apportés à l'open ssl en PHP 5.6
    À partir d'ici que j'ai appris d'un paramètre plus je doit avoir la valeur false: "verify_peer_name"=>false

    Donc mon code ressemble à ceci:

    <?php
$arrContextOptions=array(
    "ssl"=>array(
        "verify_peer"=>false,
        "verify_peer_name"=>false,
    ),
);  

$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));

echo $response; ?>
    • cela rompt avec la certification SSL et est un trou de sécurité
    • Comment voulez-vous faire ensuite?
    • Comme @hypery2k souligné, vous ne devriez pas simplement désactiver la vérification. Voir ma réponse pour une solution alternative, qui n'est pas à l'encontre du but de l'utilisation de ssl.
    • Cela ne devrait pas être fait. Plutôt que d'éluder la question en fait, vous devez le réparer. Voir la meilleure solution de @elitechief21.
    • Cela peut être frustrant si vous êtes des essais à partir d'un environnement local à l'encontre d'une api. Dans ce cas, j'ai l'habitude de nuke la vérification.
    • Depuis j'ai toujours venir ici quand j'essaie de le faire, voici le code à copier et coller facilement: file_get_contents($url, false, stream_context_create(array('ssl' => array('verify_peer' => false, 'verify_peer_name' => false))));
    • exactement ce que je voulais. toutes les autres options ont été avec curl_exec et je n'ai pas envie de désordre pour beaucoup avec des bibliothèques tierces. Aussi je préfère nuke la vérification. J'ai un socket.io & localhost communiquer les uns avec les autres via le protocole ssl. Si les certificats auto-signés causer une douleur royale. J'ai juste utilisé dev env pour éviter ces options dans la production
    • Bien fait, le travail pour moi
    • A travaillé pour moi, même si je comprends que cela casse la certification SSL et est un trou de sécurité
    • pas fonctionné pour moi

    InformationsquelleAutor Joe
  2. 133

    Vous ne devriez pas simplement désactiver la vérification. Plutôt, vous devez télécharger un certificat de bundle, peut-être le curl bundle va faire?

    Ensuite, vous avez juste besoin de le mettre sur votre serveur web, en donnant à l'utilisateur qui exécute php autorisation de lire le fichier. Ce code devrait fonctionner pour vous:

    $arrContextOptions=array(
    "ssl"=>array(
        "cafile" => "/path/to/bundle/cacert.pem",
        "verify_peer"=> true,
        "verify_peer_name"=> true,
    ),
);

$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));

    Espérons-le, le certificat racine du site que vous tentez d'accéder est dans la boucle bundle. Si ce n'est pas le cas, cela ne fonctionne toujours pas, jusqu'à ce que vous obtenir le certificat racine du site et le mettre dans votre fichier de certificat.

    • Ce doit être la accepté de répondre.
    • Où est .crt fichier à venir à partir de? Il n'y a pas de lien dans curl site web que vous fournissez ne .pem.
    • Le fichier pem doit être le même. À l'époque, cela a été posté, il y avait deux versions du certificat bundle sur leur site, un pem et un crt et j'ai simplement utilisé le crt fichier pour mon exemple (naturellement c'est celui qu'ils seraient supprimer). Pour référence future, le crt de fichiers sont généralement renommé pem fichiers, qui sont renommés pour que windows reconnaît le fichier comme un fichier de certificat. Ce ne sera pas toujours le cas, mais il est dans ce cas. Je vais mettre à jour mon exemple afin qu'il utilise le fichier pem actuellement sur le site curl
    • theres également une fonction utile stream_context_set_default qui peut être utilisé de sorte que vous n'avez pas à passer en cochant à chaque fois
    • Personne n'a jamais obtenir que cela fonctionne? J'ai essayé avec le cacert.pem bundle lié à cette réponse, et aussi avec le Comodo CA certificat Racine (qui est l'autorité de certification racine pour le certificat, je veux avoir vérifié), mais il échouera toujours.
    • Si vous rencontrez des problèmes pour obtenir que cela fonctionne, vous pourriez essayer d'ajouter "capture_peer_cert_chain" => true à $arrContextOptions. Ensuite, l'appel à file_get_contents comprendra également le certificat de la chaîne de l'hôte que vous essayez de vous connecter à encodé en base64). Je crois que le dernier certificat répertorié dans la sortie est le certificat racine et que le certificat doit être dans le cert fichier que vous êtes en utilisant, dans l'ordre pour que cela fonctionne. Notez qu'il peut y avoir un autre problème avec l'hôte ou côté client qui est à l'origine de la panne (c'est à dire expiré hôte cert, client le temps est incorrect, etc)
    • J'ai trouvé cela très utile. Meilleure réponse que l'on a accepté. Notre serveur dispose d'un cert de RapidSSL où ses pas, pour php sur n'importe quelle machine on essaie de se connecter au serveur avec. Nous avons donc pour l'écureuil de la rapidssl2017.pem à l'écart et laisser connaissances en php (merci pour cette réponse). Afin d'être en mesure de dire file_get_contents() où chercher... est beaucoup plus agréable que d'utiliser curl pour un grab.
    • Malheureusement, après j'ai tout de travail dans mon précédent commentaire sur oct 10... aujourd'hui, je reviens de vacances, et tous ses cessé de travailler. Aucune quantité de liant ou en saisissant un fichier pem est de travail. Avait temporairement le recours à la désactivation de vérifier 🙁 Vais poster une image de marque nouvelle question parfois ici sur notre problème spécifique avec ces merde RapidSSL certs.
    • Comment pouvez définir des autorisations pour la pem fichier?
    • De tout ce que j'ai essayé pendant plus de 2 jours, après la mise à jour de http24 et php7, c'est la seule solution qui a fonctionné. Cependant, je ne suis pas sûr que les problèmes de sécurité. J'ai créé une nouvelle clé à l'aide d'openssl et utilisé qu'au lieu de le lien fourni pour file_get_contents. Je ne suis pas sûr de savoir pourquoi les choses cessé de travailler plus tôt, et pourquoi cela fonctionne maintenant. J'espère seulement qu'il n'y a pas de failles de sécurité. Au moins, il est aujourd'hui.
    • Dans le cas où quelqu'un a besoin d'informations supplémentaires sur file_get_contents SSL contexte. php.net/manual/en/context.ssl.php
    • Il fonctionne, mais je wnat à savoir: est-ce que "cacert.pem" fichier téléchargé à partir de curl.haxx.se/ca/cacert.pem jamais fin? Dois-je télécharger une autre copie dans un délai de quelques mois ou que ça va marcher indéfiniment?
    • Eh bien, j'ai vérifié l'expiration de la "cacert.pem" fichier avec le "openssl" ligne de commande et il dit qu'il expire en 2028. J'ai utilisé ceci: openssl x509 -date de fin -noout -en cacert.pem
    • À partir d'un point de vue sécurité: à côté de l'utilisation de la cafile contexte de flux option, il peut être tout aussi important de définir le les algorithmes dans les algorithmes de chiffrement contexte de flux d'option et d'interdire ces versions SSL qui sont connus comme vulnérables. Définir également le contexte de flux option disable_compression true est recommandé pour atténuer le CRIME vecteur d'attaque.

    InformationsquelleAutor elitechief21
  3. 29

    J'ai corrigé cela, assurez-vous que OpenSSL est installé sur ma machine, puis en ajoutant ceci à mon php.ini:

    openssl.cafile=/usr/local/etc/openssl/cert.pem
    • Vous devriez être capable de trouver quelques tutoriels si vous Google
    • J'ai utilisé la même méthode à l'aide de PHP sur IIS 7, téléchargé le cert.pem fichier et mettre le php.ini comme ça, et il a travaillé: openssl.cafile=D:\Tools\GnuWin32\bin\cacert.pem
    • Sa a fonctionné pour moi. Merci.
    • J'ai téléchargé le fichier PEM à partir de curl.haxx.se/docs/caextract.html - correction d'un problème pour moi sur Windows avec un particulier gstatic.com URL.
    • Téléchargement du fichier PEM à partir de curl.haxx.se/docs/caextract.html n'a pas fonctionné pour moi sur Centos 7. J'ai créé un bundle certificat en concaténant certificat principal et pkcs7 et de les placer sur le serveur, puis spécifiez openssl.cafile chemin. +1 pour la bonne réponse et la direction.
    • Lors de la création d'un bundle n'oubliez pas de convertir le fichier pkcs de fichier pem avant concating pour principal certification
    • Ce corrigé mes erreurs dans une localhost environnement à l'aide d'un certificat auto-signé.

    InformationsquelleAutor andlin
  4. 13

    Vous pouvez contourner ce problème en écrivant une fonction personnalisée qui utilise curl, comme dans:

    function file_get_contents_curl( $url ) {

  $ch = curl_init();

  curl_setopt( $ch, CURLOPT_AUTOREFERER, TRUE );
  curl_setopt( $ch, CURLOPT_HEADER, 0 );
  curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );
  curl_setopt( $ch, CURLOPT_URL, $url );
  curl_setopt( $ch, CURLOPT_FOLLOWLOCATION, TRUE );

  $data = curl_exec( $ch );
  curl_close( $ch );

  return $data;

}

    Alors utilisez simplement file_get_contents_curl au lieu de file_get_contents chaque fois que vous êtes à l'appel d'une url commençant par https.

    InformationsquelleAutor Ben Shoval
  5. 11

    Si votre version de PHP est de 5, essayez d'installer cURL en tapant la commande suivante dans le terminal:

    sudo apt-get install php5-curl
    • Cela n'a absolument rien à voir avec cURL.
    • ce qui a fonctionné pour moi.
    • L'installation de php curl doit être la bonne réponse! Pour mon système Mac, je suis en utilisant le port, et la commande est: sudo port install php70-curl
    • a fonctionné pour moi aussi, merci
    InformationsquelleAutor ARUNBALAN NV
  6. 7

    En gros, vous devez définir la variable d'environnement SSL_CERT_FILE pour le chemin d'accès du fichier PEM du certificat ssl téléchargé à partir du lien suivant : http://curl.haxx.se/ca/cacert.pem.

    Il m'a fallu beaucoup de temps pour comprendre cela.

    InformationsquelleAutor Kshitij Mittal
  7. 6

    suivant les étapes ci-dessous va résoudre ce problème,

    1. Télécharger le Certificat d'autorité de certification à partir de ce lien: https://curl.haxx.se/ca/cacert.pem
    2. De trouver et d'ouvrir php.ini
    3. Recherchez curl.cainfo et collez le chemin absolu où vous avez télécharger le Certificat. curl.cainfo ="C:\wamp\htdocs\cert\cacert.pem"
    4. Redémarrer WAMP/XAMPP (serveur apache).
    5. Ça marche!!!

    espère que ça aide !!

    • est-il sécuritaire? j'aime solutions faciles, mais im manque quelques informations ici..
    • pour le test est ok
    InformationsquelleAutor shakee93
  8. 5

    Voulais juste ajouter à cela depuis que j'ai rencontré le même problème et rien de ce que j'ai pu trouver n'importe où serait de travailler (e.g télécharger le cacert.fichier pem, réglage cafile en php.ini etc.)

    Si vous utilisez NGINX et votre certificat SSL est livré avec un "certificat intermédiaire", vous avez besoin de combiner l'intermédiaire cert fichier avec votre main "mondomaine.com.crt" fichier et cela devrait fonctionner. Apache a un réglage spécifique pour les certificats intermédiaires, mais NGINX ne le fait pas, il doit être dans le même fichier que votre cert.

    InformationsquelleAutor SlickTheNick
  9. 4

    De travail pour moi, je suis à l'aide de PHP 5.6. openssl extension doit être activé et tout en appelant l'api google map verify_peer faire des faux
    Code ci-dessous est de travailler pour moi.

    <?php
    $arrContextOptions=array(
        "ssl"=>array(
        "verify_peer"=>false,
        "verify_peer_name"=>false,
    ),
 );  

 $response = file_get_contents("https://maps.googleapis.com/maps/api/geocode     /json?latlng=" . $latitude . "," . $longitude . "&sensor=false&key=" . Yii::$app->params['GOOGLE_API_KEY'], false, stream_context_create($arrContextOptions));

echo $response; ?>
    InformationsquelleAutor Dipti
  10. 3

    Raison de cette erreur est que PHP ne dispose pas d'une liste d'autorités de certification de confiance.

    PHP 5.6 et plus tard d'essayer de charger les CAs approuvés par le système automatique. Problèmes avec qui peut être fixe. Voir http://php.net/manual/en/migration56.openssl.php pour plus d'informations.

    PHP 5.5 et versions antérieures sont vraiment difficile à configurer correctement depuis, manuellement, vous devez spécifier le CA bundle dans chaque contexte de demande, une chose que vous ne voulez pas de les arroser autour de votre code.
    J'ai donc décidé pour mon code que pour les versions de PHP < 5.6, la vérification SSL obtient tout simplement désactivé:

    $req = new HTTP_Request2($url);
if (version_compare(PHP_VERSION, '5.6.0', '<')) {
    //correct ssl validation on php 5.5 is a pain, so disable
    $req->setConfig('ssl_verify_host', false);
    $req->setConfig('ssl_verify_peer', false);
}
    • Cela m'a aidé à trouver mon problème. Même si je suis sur PHP 5.6 j'ai été en utilisant une ancienne api de la bibliothèque du client que spécifié manuellement un ancien CA de fichier à l'aide de la cafile contexte option en fonction de votre lien ci-dessus. Retrait à partir de l'api de la bibliothèque du client fixe pour moi. Probablement PHP commencé à utiliser OpenSSLs de confiance bundle
    InformationsquelleAutor cweiske
  11. 3

    Eu le même ssl problème sur mon ordinateur du développeur (php 7, xampp sous windows) avec un certificat auto-signé en essayant de fopen un "https://localhost/..."-fichier. Évidemment, la racine-certificat-assemblée (cacert.pem) n'a pas fonctionné.
    Je viens de copier manuellement le code du serveur apache.crt-Fichier téléchargé cacert.pem et ne openssl.cafile=chemin/vers/cacert.pem entrée en php.ini

    InformationsquelleAutor hangerer
  12. 3

    Eu la même erreur avec PHP 7 sur XAMPP et OSX.

    Mentionné ci-dessus la réponse dans https://stackoverflow.com/ est bon, mais il n'a pas de résoudre complètement le problème pour moi. J'ai dû fournir le certificat de la chaîne de faire file_get_contents() fonctionne de nouveau. C'est la façon dont je l'ai fait:

    Racine /certificat intermédiaire

    Tout d'abord, je devais savoir ce qui est la racine et le certificat intermédiaire.

    Le plus pratique, c'est peut-être en ligne cert-outil comme le ssl-shopper

    J'y ai trouvé trois certificats, un serveur de certificat et de deux à la chaîne de certificats (l'un est la racine, l'autre apparemment, les intermédiaires).

    Tous j'ai besoin est juste une recherche sur internet pour tous les deux. Dans mon cas, c'est la racine:

    DV SSL thawte SHA256 CA

    Et il conduit son url d' thawte.com. Donc j'ai juste mis cette cert dans un fichier texte et fait de même pour le niveau intermédiaire. Fait.

    Obtenir les certificats de l'ordinateur hôte

    Prochaine chose que j'ai eu à faire est de télécharger mon serveur cert. Sur Linux ou OS X, il peut être fait avec openssl:

    openssl s_client -showcerts -connect whatsyoururl.de:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > /tmp/whatsyoururl.de.cert

    Maintenant les mettre tous ensemble

    Maintenant d'intégrer tout cela dans un seul fichier. (C'est peut-être bon de tout mettre dans un seul dossier, je viens de les fusionner en un seul fichier). Vous pouvez le faire comme ceci:

    cat /tmp/thawteRoot.crt > /tmp/chain.crt
cat /tmp/thawteIntermediate.crt >> /tmp/chain.crt
cat /tmp/tmp/whatsyoururl.de.cert >> /tmp/chain.crt

    dire à PHP où trouver de la chaîne

    Il y a cette fonction très pratique openssl_get_cert_locations() qui vais vous dire, là où PHP est à la recherche d'cert fichiers. Et il y a ce paramètre, qui dira file_get_contents() où regarder pour cert fichiers. Peut-être les deux méthodes de travail. J'ai préféré le paramètre de chemin. (Par rapport à la solution mentionnée ci-dessus).

    C'est donc maintenant mon Code PHP

    $arrContextOptions=array(
    "ssl"=>array(
        "cafile" => "/Applications/XAMPP/xamppfiles/share/openssl/certs/chain.pem",
        "verify_peer"=> true,
        "verify_peer_name"=> true,
    ),
);

$response = file_get_contents($myHttpsURL, 0, stream_context_create($arrContextOptions));

    C'est tout. file_get_contents() fonctionne à nouveau. Sans CURL et espérons-le, sans failles de sécurité.

    • Quel est le fichier chain.pem? Est-ce chain.crt?
    • Ce n'est pas la chaîne.crt, c'est pour le certificat réel. C'est la liste des certificats intermédiaires, aka la chaîne de certificats. Vous n'avez pas nécessairement besoin. L'utilisation d'un certificat SSL checker pour savoir si vous en avez besoin. Si oui, vous pouvez rechercher le nom de votre cert émetteur + le terme de "chaîne" ou "intermédiaire" pour trouver le bon fichier.
    InformationsquelleAutor n.r.
  13. 2

    Après la chute de la victime de ce problème sur centOS après la mise à jour de php php5.6 j'ai trouvé une solution qui a fonctionné pour moi.

    Obtenir le bon répertoire pour votre certs pour être placé par défaut avec cette

    php -r 'print_r(openssl_get_cert_locations());' | grep '\[default_cert_file\]' | awk '{print $3}'

    Puis de les utiliser pour obtenir le cert et le mettre dans l'emplacement par défaut trouvé dans le code ci-dessus

    wget http://curl.haxx.se/ca/cacert.pem -O <default location>
    InformationsquelleAutor Edward DiGirolamo
  14. 1

    Concernant des erreurs similaires à

    [11-Mai-2017 19:19:13 America/Chicago] PHP Warning: file_get_contents(): SSL opération a échoué avec le code 1. OpenSSL messages d'Erreur:
    erreur:14090086:SSL routines:ssl3_get_server_certificate:certificat de vérifier échoué

    Avez-vous vérifié les autorisations du cert et annuaires référencés par openssl?

    Vous pouvez le faire

    var_dump(openssl_get_cert_locations());

    Pour obtenir quelque chose de similaire à ce

    array(8) {
  ["default_cert_file"]=>
  string(21) "/usr/lib/ssl/cert.pem"
  ["default_cert_file_env"]=>
  string(13) "SSL_CERT_FILE"
  ["default_cert_dir"]=>
  string(18) "/usr/lib/ssl/certs"
  ["default_cert_dir_env"]=>
  string(12) "SSL_CERT_DIR"
  ["default_private_dir"]=>
  string(20) "/usr/lib/ssl/private"
  ["default_default_cert_area"]=>
  string(12) "/usr/lib/ssl"
  ["ini_cafile"]=>
  string(0) ""
  ["ini_capath"]=>
  string(0) ""
}

    Cette question frustré de moi pendant un moment, jusqu'à ce que j'ai compris que mon "certs" dossier avait 700 autorisations, quand il aurait dû 755 autorisations. Rappelez-vous, ce n'est pas le dossier pour les clés, mais les certificats. Je vous recommande la lecture de ce ce lien sur ssl autorisations.

    Une fois que je ne 

    chmod 755 certs

    Le problème a été résolu, au moins pour moi, de toute façon.

    • Yay!!! CHMOD a ma question 😉 Merci
    InformationsquelleAutor Aleks
  15. 0

    J'ai eu le même problème pour une autre page sécurisée lors de l'utilisation de wget ou file_get_contents. Beaucoup de la recherche (y compris certaines des réponses à cette question) ont abouti à une solution simple - installation de Curl et PHP-Curl - Si j'ai bien compris, le Roulage est l'autorité de certification Racine de Comodo qui a résolu le problème

    Installer Curl et PHP-Curl addon, puis redémarrez Apache

    sudo apt-get install curl
sudo apt-get install php-curl
sudo /etc/init.d/apache2 reload

    Tous maintenant de travail.

    InformationsquelleAutor Aubs
  16. 0

    Une autre chose à essayer est de ré-installer ca-certificates comme détaillé ici.

    # yum reinstall ca-certificates
...
# update-ca-trust force-enable 
# update-ca-trust extract

    Et une autre chose à essayer est d'autoriser explicitement l'un certificat du site en question comme décrit ici (surtout si un site est votre propre serveur et vous avez déjà la .pem à portée de main).

    # cp /your/site.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust extract

    J'ai été en cours d'exécution dans cette SORTE d'erreur après la mise à jour de PHP 5.6 sur CentOS 6 tentative d'accès au serveur lui-même qui a un cheapsslsecurity certificat qui peut-être il a besoin d'être mis à jour, mais au lieu de cela, j'ai installé un letsencrypt certificat et avec ces deux étapes ci-dessus, il a fait le tour. Je ne sais pas pourquoi la deuxième étape a été nécessaire.

    Commandes Utiles

    Afficher une version d'openssl:

    # openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

    Vue PHP cli ssl paramètres actuels:

    # php -i | grep ssl
openssl
Openssl default config => /etc/pki/tls/openssl.cnf
openssl.cafile => no value => no value
openssl.capath => no value => no value
    InformationsquelleAutor site