关于PHP5.6以上版本CA证书校验报错的问题

在本文撰写的时候，这个问题并没有彻底解决，因此本文中所阐述的内容可能不全面。

问题描述

最开始这个问题发生在PHP进行邮件发送的时候，当使用SMTP协议时产生报错：

2021-01-11 17:39:38 Error: [Exception]task-5ffb92aacf61ce7c7d8b4567: send_heart_beat:13311539325@qq.com(stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
stream_socket_client(): Failed to enable crypto
stream_socket_client(): unable to connect to ssl://smtpdm.aliyun.com:465 (Unknown error))

通过报错内容来看，这里是证书校验时发生了错误。同时，在其他位置获取HTTPS协议的文件时，也出现了类似的报错：

Warning (2): file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed [APP/Vendor/khanamiryan/qrcode-detector-decoder/lib/QrReader.php, line 34]
Warning (2): file_get_contents() [function.file-get-contents]: Failed to enable crypto [APP/Vendor/khanamiryan/qrcode-detector-decoder/lib/QrReader.php, line 34]
Warning (2): file_get_contents(https://devpic.mimixiche.cn/insurances/5ff6af2fcf61ce6d008b4567/pay_code20210111142906143.jpg)

服务器端处理方案

发生这个问题的原因是，在PHP5.6版本开始，OpenSSL默认将校验CA证书。比较普遍的做法是：

下载CA证书，可以在cURL官方文档里找到下载地址；

在php.ini中配置cafile的地址

wget -O /usr/local/openssl/cacerts/cacert.pem https://curl.se/ca/cacert.pem
vi /etc/php/5.6/php.ini

找到openssl.cafile一行，修改为：

openssl.cafile=/usr/local/openssl/certs/cacert.pem

问题没有完全解决

进行配置后，我们发现邮件发送的问题已经解决了，上述解决方案生效。然而，file_get_contents的问题仍在。我们配置的证书并未对file_get_contents生效。实际上，不论是发送邮件的插件，还是file_get_contents函数，都使用了stream_context_create方法创建的资源流。因此，问题可能出在这里。

配置资源流

file_get_contents方法的第三个参数是资源流，默认情况下，使用默认资源流。我们可以创建一个属于我们自己的资源流，来避免校验CA证书，方法如下：

$co = [
  'ssl' => [
    'verify_peer' => false,
    'verify_peer_name' => false,
  ],
];
$img = "https://devpic.mimixiche.cn/insurances/5ff6af2fcf61ce6d008b4567/pay_code20210111142906143.jpg";
$rt = file_get_contents($img, false, stream_context_create($co));

上述代码在使用file_get_contents时，传入了利用$co参数创建资源流，避免了对CA证书的校验。

设置默认资源流

虽然通过配置可以解决，但是对于历史代码较多的情况，这种方式的修改难度较大。这种情况下，可以设置好，默认的资源流参数，方法如下：

$defaultOpts = [
  'ssl' => [
    'verify_peer' => false,
    'verify_peer_name' => false,
  ]
];
stream_context_set_default($defaultOpts);

伺候再使用默认参数调用file_get_contents也不会产生报错。对于CakePHP框架而言，可以考虑将上述默认参数配置，加到Config/bootstrap.php中。

进一步处理

既然CA证书已经配置，并在SMTP服务中已经生效，那么从原理上，服务器端的处理方案是没问题的。问题可能发生在CA证书本身，如何使用正确的CA证书进行校验，而避免在代码中规避校验，是下一步的处理方向。