PHP利用Socket獲取網(wǎng)站的SSL證書與公鑰

更新時間：2017年06月18日 11:10:36 作者：袖之歡

這篇文章主要給大家介紹了PHP利用Socket獲取網(wǎng)站的SSL證書與公鑰的相關(guān)資料，文中給出了詳細(xì)的示例代碼供大家參考學(xué)習(xí)，對大家具有一定的參考學(xué)習(xí)價值，需要的朋友們下面來一起看看吧。

通過 php curl 請求網(wǎng)頁并不能獲取到證書信息，此時需要使用 ssl socket 獲取證書內(nèi)容。下面來一起看看看詳細(xì)的介紹：

示例代碼：

// 創(chuàng)建 stream context
$context = stream_context_create([
 'ssl' => [
  'capture_peer_cert' => true,
  'capture_peer_cert_chain' => true,
 ],
]);
 
$resource = stream_socket_client("ssl://$domain:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);
 
$ssl = $cert['options']['ssl'];
$resource = $ssl['peer_certificate'];
 
// 網(wǎng)站證書中只有公鑰，通過 openssl_pkey_get_details 導(dǎo)出公鑰
 
$ret = [
 'crt' => '',
 'pub' => '',
];
 
$pkey = openssl_pkey_get_public($resource);
$ret['pub'] = openssl_pkey_get_details($pkey)['key'];
 
openssl_x509_export($resource, $pem);
$ret['crt'] = $pem;
 
foreach ($ssl['peer_certificate_chain'] as $resource)
{
 openssl_x509_export($resource, $pem);
 $ret['crt'] .= "\n" . $pem;
}
 
// 保存 $ret['crt'] 為 domain.crt
// 保存 $ret['pub'] 為 domain.pub
 
return $ret;

驗證證書中的公鑰A是否正確，通過私鑰導(dǎo)出公鑰B，比較兩者發(fā)現(xiàn)一致。

$domain = 'blog.zhengxianjun.com';
$port = '443';
// ...
$pub_a = $ret['pub'];
 
$private_key_path = '/conf/ssl/blog.zhengxianjun.com.key';
 
// 證書沒有設(shè)置密碼，$passphrase 為空字符串
$pkey = openssl_pkey_get_private(file_get_content($private_key_path), $passphrase = '');
$pub_b = openssl_pkey_get_details($pkey)['key'];
 
// 兩者一致
var_dump($pub_a === $pub_b);

函數(shù) stream_socket_client 還有一個用途是當(dāng)知道服務(wù)器 IP 時，能獲取到服務(wù)器可能可以使用的域名。

$resource = stream_socket_client("ssl://$ip:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);
$cert = stream_context_get_params($resource);
 
// 解析 X.509 格式證書
$info = openssl_x509_parse($cert['options']['ssl']['peer_certificate']);
 
// 獲取證書中的可信域名列表
$domain = str_replace('DNS:', '', $info['extensions']['subjectAltName']);

以上可以看到獲取網(wǎng)站證書并不能獲得私鑰。

在一些使用 CDN 的站點，如果使用了 HTTPS 同時又希望使用自有域名，是否需要將自己的私鑰提供給 CDN 廠商呢？實際上證書路徑與使用者名稱（支持 https 的域名）并不需要一致。

也就是使用自有域名并進(jìn)行 CDN 加速時不需要使用自有的 ssl 證書，只需將自己的 CDN 域名加到廠商證書的域名列表即可。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

您可能感興趣的文章: