PHP cURL 调用返回错误 56 和 NSS 错误 -12195

Question

我有一个内部服务器（在我的网络内部），我从我的外部服务器对其进行REST API调用。 p>

我不知道它是否有帮助，但 external 服务器正在运行 php 5.3.6 和 cURL 7.19.7。 p>

为了使其更安全（除了将可以调用我的内部服务器的外部 IP 地址限制为我的外部服务器的静态 IP 地址的防火墙框） ，我为我的内部服务器生成了一个自签名 SSL 服务器证书。

我还生成了一个客户端证书，供我的外部服务器在拨打电话时使用。

使用 PHP 的 cURL 库 进行调用。进行调用的页面如下所示（此页面是作为“概念证明”创建的，以查看是否可以实际进行调用）：

<?php 

$mycurl = curl_init();    
$verbose = fopen('curl_error_log','a');    
$url_site = 'https://internal.server.com/api_test.php';

$options = array(
     CURLOPT_HEADER => false                                                
    ,CURLOPT_RETURNTRANSFER => true                                         
    ,CURLOPT_VERBOSE => true                                                
    ,CURLOPT_STDERR => $verbose                                             
    ,CURLOPT_HTTPHEADER => array('Accept: application/json')                
    ,CURLOPT_CAINFO => realpath('/certs/server/certs.pem')  
    ,CURLOPT_CAPATH => realpath('/certs/server')
    ,CURLOPT_SSL_VERIFYPEER => true                                         
    ,CURLOPT_SSL_VERIFYHOST => 2                                            
    ,CURLOPT_SSLCERT => realpath('/certs/client.crt.pem')
    ,CURLOPT_SSLKEY => realpath('/certs/client.key.pem')
    ,CURLOPT_SSLCERTTYPE => 'PEM'
    ,CURLOPT_URL => $url_site
);

curl_setopt_array($mycurl, $options);    
$webResponse =  curl_exec($mycurl);    
fclose($verbose);

?>
<html>
    <head>
        <title></title>
    </head>
    <body>
        <p>Error: <?php echo curl_error($mycurl); ?></p>
        <p>Error no.: <?php echo curl_errno($mycurl); ?></p>
        <p>Result: <?php echo $webResponse; ?></p>
    </body>
</html>

注意：这种“概念证明”的前一次迭代，没有使用客户端证书，效果很好。在该版本中，CURLOPT_VERIFYPEER 和 CURLOPT_VERIFYHOST 设置为 FALSE 并且所有 SSL... 和 CA ...选项不存在。

返回页面如下所示：

Error: SSL read: errno -12195

Error no.: 56

Result:

详细文件（curl_error_log）有这个：

* About to connect() to internal.server.com port 443 (#0)
*   Trying 111.222.333.444... * connected
* Connected to internal.server.com (111.222.333.444) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /certs/server/certs.pem
  CApath: /certs/server
* SSL connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate:
*   subject: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
*   start date: Apr 13 15:15:38 2015 GMT
*   expire date: Apr 12 15:15:38 2016 GMT
*   common name: internal.server.com
*   issuer: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
> GET /api_test.php HTTP/1.1
Host: internal.server.com
Accept: application/json

* NSS: client certificate from file
*   subject: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
*   start date: Apr 13 15:26:48 2015 GMT
*   expire date: Apr 12 15:26:48 2016 GMT
*   common name: internal.server.com
*   issuer: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
* SSL read: errno -12195
* Closing connection #0

关于我做错了什么或缺少什么的任何想法？为什么会出现此错误？

编辑：我尝试使用 CURLOPT_SSLVERSION =>。首先我将它设置为 3 并且错误略有变化。我仍然得到完全相同的详细输出，但在底部，它读取“SSL 读取：errno -12195”，它变成了“SSL 读取：errno -12271” .

然后我将版本更改为 2，它早先崩溃了，在详细输出的第 6 行附近给我“NSS 错误 -12268”。

最后，当我尝试4或5时，详细文件与上面完全相同。

谢谢。

Answer 1

在 cURL 网站上发布相同的问题后，我得到了一些答案，这些答案给了我新的想法，我尝试并解决了这个问题，所以我决定在这里发布它们，以防其他人有类似的问题：

第一个线索是错误代码本身（-12195、-12271、-12268）。有人给了我一个解释所有这些的 URL：

http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html

我还按照不同的配方并使用更具体的参数返回并重新生成了所有证书。我不能肯定它会有所作为（错误不断发生），但如果不这样做，我很确定下一步（使错误消失的最后一步）将无法正常工作......

最后一步（虽然很愚蠢）是为 CA 证书文件使用不同的文件格式。我使用 CRT 而不是 PEM。一旦我改变了它（没有任何其他改变），错误就消失了，我的电话开始工作了。

我希望它会帮助那里的人......