ssl — не работает пиннинг сертификатов с PHP
Я пытаюсь подключиться к веб-службе, для которой требуется закрепление SSL-сертификата.
Предыдущая реализация была сделана с Java, и теперь я должен преобразовать это в PHP.
Я преобразовал JKS в файл pem и использовал его, как показано ниже.
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
curl_setopt($ch, CURLOPT_SSLKEY, "F:\www\key.pem");
curl_setopt($ch, CURLOPT_SSLVERSION, 6);
/// END - CERTIFICATION ///
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_user_registration);
//curl_setopt($ch, CURLOPT_VERBOSE, true);
$result = curl_exec($ch);
if ($result == false) {
echo "Satrt:";
echo curl_error($ch);
echo $result;
echo ":End";
}
else{
echo "No Error";
}
Но я получаю ошибку ниже.
error:14082174:SSL routines:ssl3_check_cert_and_algorithm:dh key too small
Кто-нибудь сталкивался с этой проблемой. Я делаю что-то не так или у веб-службы возникли проблемы?
Решение
Проблема была не с моим сценарием, а с самим сервером. Сертификат, используемый этой конкретной службой, устарел. Но мои PHP-скрипты работают на более новой версии RedHat, которая имеет последнюю версию CURL.
Эта версия curl не поддерживает меньшие ключи Диффи-Хеллмана. Точно, он не поддерживает ключи меньше 1023. Поэтому я изменил свой сервер так, чтобы принимать ключи размером всего 768, изменив конфигурации nss.
Мой поставщик услуг собирается обновить свой сертификат.
Нашел очень хорошую статью по этому вопросу — Проблема CURL с NSS 3.28.4-3.0.1 — curl: (35) Ошибка SSL-соединения — работают только шифры rsa_rc4_128 Махеш Чопкер
Другие решения
Других решений пока нет …