PHP利用Socket获取网站的SSL证书与公钥
通过phpcurl请求网页并不能获取到证书信息,此时需要使用sslsocket获取证书内容。下面来一起看看看详细的介绍:
示例代码:
//创建streamcontext
$context=stream_context_create([
'ssl'=>[
'capture_peer_cert'=>true,
'capture_peer_cert_chain'=>true,
],
]);
$resource=stream_socket_client("ssl://$domain:$port",$errno,$errstr,30,STREAM_CLIENT_CONNECT,$context);
$cert=stream_context_get_params($resource);
$ssl=$cert['options']['ssl'];
$resource=$ssl['peer_certificate'];
//网站证书中只有公钥,通过openssl_pkey_get_details导出公钥
$ret=[
'crt'=>'',
'pub'=>'',
];
$pkey=openssl_pkey_get_public($resource);
$ret['pub']=openssl_pkey_get_details($pkey)['key'];
openssl_x509_export($resource,$pem);
$ret['crt']=$pem;
foreach($ssl['peer_certificate_chain']as$resource)
{
openssl_x509_export($resource,$pem);
$ret['crt'].="\n".$pem;
}
//保存$ret['crt']为domain.crt
//保存$ret['pub']为domain.pub
return$ret;
验证证书中的公钥A是否正确,通过私钥导出公钥B,比较两者发现一致。
$domain='blog.zhengxianjun.com'; $port='443'; //... $pub_a=$ret['pub']; $private_key_path='/conf/ssl/blog.zhengxianjun.com.key'; //证书没有设置密码,$passphrase为空字符串 $pkey=openssl_pkey_get_private(file_get_content($private_key_path),$passphrase=''); $pub_b=openssl_pkey_get_details($pkey)['key']; //两者一致 var_dump($pub_a===$pub_b);
函数stream_socket_client还有一个用途是当知道服务器IP时,能获取到服务器可能可以使用的域名。
$resource=stream_socket_client("ssl://$ip:$port",$errno,$errstr,30,STREAM_CLIENT_CONNECT,$context);
$cert=stream_context_get_params($resource);
//解析X.509格式证书
$info=openssl_x509_parse($cert['options']['ssl']['peer_certificate']);
//获取证书中的可信域名列表
$domain=str_replace('DNS:','',$info['extensions']['subjectAltName']);
以上可以看到获取网站证书并不能获得私钥。
在一些使用CDN的站点,如果使用了HTTPS同时又希望使用自有域名,是否需要将自己的私钥提供给CDN厂商呢?实际上证书路径与使用者名称(支持https的域名)并不需要一致。
也就是使用自有域名并进行CDN加速时不需要使用自有的ssl证书,只需将自己的CDN域名加到厂商证书的域名列表即可。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对毛票票的支持。