通过 php curl 请求网页并不能获取到证书信息,此时需要使用 ssl socket 获取证书内容。下面来一起看看看详细的介绍:
示例代码:
// 创建 stream context
$context = stream_context_create([
ssl => [
capture_peer_cert => true,
capture_peer_cert_chain => true,
],
]);
$resource = stream_socket_client(“ssl://$domain:$port”, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);
$ssl = $cert[options][ssl];
$resource = $ssl[peer_certificate];
// 网站证书中只有公钥,通过 openssl_pkey_get_details 导出公钥
$ret = [
crt => ,
pub => ,
];
$pkey = openssl_pkey_get_public($resource);
$ret[pub] = openssl_pkey_get_details($pkey)[key];
openssl_x509_export($resource, $pem);
$ret[crt] = $pem;
foreach ($ssl[peer_certificate_chain] as $resource)
{
openssl_x509_export($resource, $pem);
$ret[crt] .= “n” . $pem;
}
// 保存 $ret[crt] 为 domain.crt
// 保存 $ret[pub] 为 domain.pub
return $ret;
验证证书中的公钥A是否正确,通过私钥导出公钥B,比较两者发现一致。
$domain = blog.zhengxianjun.com;
$port = 443;
// …
$pub_a = $ret[pub];
$private_key_path = /conf/ssl/blog.zhengxianjun.com.key;
// 证书没有设置密码,$passphrase 为空字符串
$pkey = openssl_pkey_get_private(file_get_content($private_key_path), $passphrase = );
$pub_b = openssl_pkey_get_details($pkey)[key];
// 两者一致
var_dump($pub_a === $pub_b);
函数 stream_socket_client 还有一个用途是当知道服务器 IP 时,能获取到服务器可能可以使用的域名。
$resource = stream_socket_client(“ssl://$ip:$port”, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);
// 解析 X.509 格式证书
$info = openssl_x509_parse($cert[options][ssl][peer_certificate]);
// 获取证书中的可信域名列表
$domain = str_replace(DNS:, , $info[extensions][subjectAltName]);
以上可以看到获取网站证书并不能获得私钥。
在一些使用 CDN 的站点,如果使用了 HTTPS 同时又希望使用自有域名,是否需要将自己的私钥提供给 CDN 厂商呢?实际上证书路径与使用者名称(支持 https 的域名)并不需要一致。
也就是使用自有域名并进行 CDN 加速时不需要使用自有的 ssl 证书,只需将自己的 CDN 域名加到厂商证书的域名列表即可。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对绿夏网的支持。
相关文章
