安装
要使用 PHP 的 OpenSSL 支持,你应该使用--with-openssl[=DIR]参数来编译PHP.OpenSSL 库还在运行时对正常操作有额外的要求。最明显的是,OpenSSL需要访问随机或伪随机数生成器; 在大多数 Unix 和类 Unix 平台上(包括linux),意味着它必须要访问 /dev/urandom 或者 /dev/random 设备。
Note: Win32 平台的用户请注意
为了使此扩展生效, DLL 文件必须能在 Windows 系统的 PATH 指示的路径下找到。如何操作的信息,请参见题为“如何在 Windows 中将 PHP 目录加到 PATH 中”的FAQ。虽然将 DLL 文件从 PHP 文件夹复制到 Windows 系统目录也行,但不建议这样做。 此扩展需要下列文件在 PATH 路径中: libeay32.dll
此外,如果打算使用密钥生成和证书签名功能,你需要在你的系统上安装一个可用的 openssl.cnf 文件。 在我们的 win32 二进制发行版本中,我们已经包含了一个示例配置文件,在 extras/openssl 文件夹中。
PHP 将会使用如下逻辑搜索 openssl.cnf 文件:在你的安装过程中,你需要决定是否将配置文件安装在c:\usr\local\ssl\openssl.cnf 或者使用环境变量(可能是基于每个虚拟主机的基础)来定位配置文件安装到其他地方。注意,可以使用引入配置文件的函数中的 configargs 参数来覆盖脚本中的默认路径。
- 如果 OPENSSL_CONF 环境变量设置了,该变量将会被当作配置文件的路径(含文件名)。
- 如果 SSLEAY_CONF 环境变量设置了,该变量将会被当作配置文件的路径(含文件名)。
- 假设openssl.cnf 文件将会在 openssl DLL 被编译时配置的默认证书区域被找到。这通常意味着默认的文件名是 c:\usr\local\ssl\openssl.cnf.
运行时配置
这些函数的行为受 php.ini 中的设置影响。
| 名字 | 默认 | 可修改范围 | Changelog |
|---|---|---|---|
| openssl.cafile | "" | PHP_INI_PERDIR | 自PHP 5.6.0起可用。 |
| openssl.capath | "" | PHP_INI_PERDIR | 自PHP 5.6.0起可用。 |
- openssl.cafile string:本地文件系统上证书颁发机构文件的位置, 被用来和对等校验上下文选项一起校验远程对等方的身份。
- openssl.capath string:如果没有制定证书颁发机构文件或者证书找不到,将在由capath指向的目录下搜索一个合适的证书。capath 必须是一个正确的已被散列的证书目录
密钥/证书参数
相当一部分的 openssl 函数需要密钥或者证书参数。可通过以下途径获取这些参数。
- 证书
- 一个由 openssl_x509_read() 返回的 X.509资源
- 如下格式的字符串 file://path/to/cert.pem; 命名文件必须包含一个PEM编码的证书
- 一个包含了证书内容的字符串,PEM编码,应该是以 -----BEGIN CERTIFICATE----- 开头。
- 证书签名请求 (CSRs)
- 一个由 openssl_csr_new() 函数返回的 CSR 资源
- 如下格式的字符串file://path/to/csr.pem; 命名文件必须包含一个PEM编码的 CSR
- 一个包含了 CSR 内容的字符串,PEM编码,应该是以 -----BEGIN CERTIFICATE REQUEST----- 开头。
- 公钥/私钥
- 一个由 openssl_get_publickey() 或者 openssl_get_privatekey() 函数返回的密钥资源
- 仅限公钥:一个 X.509 资源
- 如下格式的字符串 file://path/to/file.pem - 命名文件必须包含一个PEM编码的证书/私钥(必须包含二者)
- 一个包含证书/私钥内容的字符串,PEM编码,应该是以 -----BEGIN PUBLIC KEY----- 开头。
- 对于私钥,应该使用array($key, $passphrase) 的语法格式,这里的 $key 代表由file://格式的文件或者文本字符表示的密钥, 而 $passphrase 表示一个包含该私钥的密码的字符串。
证书验证
当调用需要验证签名/认证的函数时,cainfo 参数是一个包含可信CA文件的文件夹和文件名的数组。如果文件夹指定了,它应该是能够被openssl命令正确使用的哈希目录。