在与服务器协商连接时,您的 TLS 库(假设为 openSSL)将告诉服务器您支持的最大版本是多少。然后服务器将选择它和客户端都支持的版本。因此,假设您的 client 系统支持 TLS1.2,您可能不需要任何操作。
TLS 1.2 支持已在 1.0.1 中添加到 OpenSSL。如果您使用 el6 或更新版本并更新您的软件包,您应该没问题。像这样检查你的版本:
# openssl version
> OpenSSL 1.0.2k-fips 26 Jan 2017
您可以使用以下 nmap 命令检查服务器支持的协议/密码:
nmap --script ssl-enum-ciphers -p 443 stackoverflow.com
现在,如果你想在使用 TLS1.1 时测试失败,或者强制使用密码什么的,你需要使用 PHP 的 stream_context_create。
使用下面的代码,您可以通过将crypto_method 设置为来强制使用 TLS1.2
STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT。或者,也许对您的要求更有用,您可以在强制使用STREAM_CRYPTO_METHOD_TLSv1_1_CLIENT 时测试失败。
<?php
$options = ['trace' => 1,
'soap_version' => SOAP_1_2,
'exceptions' => true,
'location' => 'https://stackoverflow.com/foo',
'uri' => "https://stackoverflow.com/bar",
'stream_context' => stream_context_create([
'ssl'=> [
'crypto_method' => STREAM_CRYPTO_METHOD_TLSv1_1_CLIENT,
'ciphers' => 'SHA256'
]
])];
$client = new SoapClient(null, $options);
try {
$response = $client->getFoo();
} catch (\Exception $e){
var_dump($client->__getLastRequest());
var_dump($client->__getLastResponse());
throw $e;
}
//OR, an even easier test with out a Soap Client...
$opts = [
'ssl'=> [
'crypto_method' => STREAM_CRYPTO_METHOD_TLSv1_1_CLIENT,
'ciphers' => 'SHA256',
'verify_peer' => false,
'verify_peer_name' => false
]
];
$context = stream_context_create($opts);
$fp = fopen('https://stackoverflow.com', 'r', false, $context);
如果事情适用于 1.2,并且您可以生成一个强制说 1.1 的错误,那么您可以非常确信事情设置正常。错误大致如下:
警告:fopen():SSL 操作失败,代码为 1。OpenSSL 错误
消息:错误:140830B5:SSL 例程:ssl3_client_hello:没有密码
可用
fopen(): 启用加密失败
当谈到 SOAP 版本 1.1 与 1.2 时,它们只是 简单对象访问协议 的不同 W3C 标准。更多关于一些差异的信息可以在here找到。
最后我只想说,我没有在 PHP 5.5 中测试过这个,这是一个太旧的版本,这些天我没有一个简单的方法来启动它。认为这一切仍然适用。