• 首页
  • css3教程
  • html5教程
  • jQuery手册
  • php7教程
  • MySQL手册
  • apache手册
  • 位置: php7教程 -> php7外部扩展库

    openssl库(通信加密)

    安装

    要使用 PHP 的 OpenSSL 支持,你应该使用--with-openssl[=DIR]参数来编译PHP.OpenSSL 库还在运行时对正常操作有额外的要求。最明显的是,OpenSSL需要访问随机或伪随机数生成器; 在大多数 Unix 和类 Unix 平台上(包括linux),意味着它必须要访问 /dev/urandom 或者 /dev/random 设备。

    Note: Win32 平台的用户请注意
    为了使此扩展生效, DLL 文件必须能在 Windows 系统的 PATH 指示的路径下找到。如何操作的信息,请参见题为“如何在 Windows 中将 PHP 目录加到 PATH 中”的FAQ。虽然将 DLL 文件从 PHP 文件夹复制到 Windows 系统目录也行,但不建议这样做。 此扩展需要下列文件在 PATH 路径中: libeay32.dll
    此外,如果打算使用密钥生成和证书签名功能,你需要在你的系统上安装一个可用的 openssl.cnf 文件。 在我们的 win32 二进制发行版本中,我们已经包含了一个示例配置文件,在 extras/openssl 文件夹中。
    PHP 将会使用如下逻辑搜索 openssl.cnf 文件:
    • 如果 OPENSSL_CONF 环境变量设置了,该变量将会被当作配置文件的路径(含文件名)。
    • 如果 SSLEAY_CONF 环境变量设置了,该变量将会被当作配置文件的路径(含文件名)。
    • 假设openssl.cnf 文件将会在 openssl DLL 被编译时配置的默认证书区域被找到。这通常意味着默认的文件名是 c:\usr\local\ssl\openssl.cnf.
    在你的安装过程中,你需要决定是否将配置文件安装在c:\usr\local\ssl\openssl.cnf 或者使用环境变量(可能是基于每个虚拟主机的基础)来定位配置文件安装到其他地方。注意,可以使用引入配置文件的函数中的 configargs 参数来覆盖脚本中的默认路径。

    运行时配置

    这些函数的行为受 php.ini 中的设置影响。

    openssl 配置选项
    名字默认可修改范围Changelog
    openssl.cafile""PHP_INI_PERDIR自PHP 5.6.0起可用。
    openssl.capath""PHP_INI_PERDIR自PHP 5.6.0起可用。
    • openssl.cafile string:本地文件系统上证书颁发机构文件的位置, 被用来和对等校验上下文选项一起校验远程对等方的身份。
    • openssl.capath string:如果没有制定证书颁发机构文件或者证书找不到,将在由capath指向的目录下搜索一个合适的证书。capath 必须是一个正确的已被散列的证书目录

    密钥/证书参数

    相当一部分的 openssl 函数需要密钥或者证书参数。可通过以下途径获取这些参数。

    • 证书
      1. 一个由 openssl_x509_read() 返回的 X.509资源
      2. 如下格式的字符串 file://path/to/cert.pem; 命名文件必须包含一个PEM编码的证书
      3. 一个包含了证书内容的字符串,PEM编码,应该是以 -----BEGIN CERTIFICATE----- 开头。
    • 证书签名请求 (CSRs)
      1. 一个由 openssl_csr_new() 函数返回的 CSR 资源
      2. 如下格式的字符串file://path/to/csr.pem; 命名文件必须包含一个PEM编码的 CSR
      3. 一个包含了 CSR 内容的字符串,PEM编码,应该是以 -----BEGIN CERTIFICATE REQUEST----- 开头。
    • 公钥/私钥
      1. 一个由 openssl_get_publickey() 或者 openssl_get_privatekey() 函数返回的密钥资源
      2. 仅限公钥:一个 X.509 资源
      3. 如下格式的字符串 file://path/to/file.pem - 命名文件必须包含一个PEM编码的证书/私钥(必须包含二者)
      4. 一个包含证书/私钥内容的字符串,PEM编码,应该是以 -----BEGIN PUBLIC KEY----- 开头。
      5. 对于私钥,应该使用array($key, $passphrase) 的语法格式,这里的 $key 代表由file://格式的文件或者文本字符表示的密钥, 而 $passphrase 表示一个包含该私钥的密码的字符串。

    证书验证

    当调用需要验证签名/认证的函数时,cainfo 参数是一个包含可信CA文件的文件夹和文件名的数组。如果文件夹指定了,它应该是能够被openssl命令正确使用的哈希目录。