PHP 的证书固定不起作用

Certificte Pinning with PHP not working

我正在尝试连接到需要 SSL 证书固定的 Web 服务。 以前的实现是用 Java 完成的,现在我必须将它转换为 PHP.

我将 JKS 转换为 pem 文件并按如下方式使用它。

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
curl_setopt($ch, CURLOPT_SSLKEY, "F:\www\key.pem"); 
curl_setopt($ch, CURLOPT_SSLVERSION, 6);
/// END     - CERTIFICATION ///

curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_user_registration);
//curl_setopt($ch, CURLOPT_VERBOSE, true);
$result = curl_exec($ch);


if ($result == false) {
    echo "Satrt:";
    echo curl_error($ch);
    echo $result;
    echo ":End";
}
else{
    echo "No Error";
}

但我遇到了以下错误。

error:14082174:SSL routines:ssl3_check_cert_and_algorithm:dh key too small

有没有人遇到过这个问题。是我做错了什么还是 Web 服务有问题。

问题不在于我的脚本,而在于服务器本身。此特定服务使用的证书已过时。但是我的 PHP 脚本 运行 在具有最新 CURL 版本的较新版本的 RedHat 上。

此 curl 版本不支持较小的 Diffie-Hellman 密钥。准确的说,它不支持小于1023的密钥。所以我通过修改nss配置修改我的服务器以接受小至768的密钥。

我的服务提供商将更新他们的证书。

在这个问题上找到了一篇非常好的文章 - CURL issue with NSS 3.28.4-3.0.1 - curl: (35) SSL connect error - ciphers rsa_rc4_128 only working Mahesh Chopker