PHP利用Socket获取网站的SSL证书与公钥

　　通过 php curl 请求网页并不能获取到证书信息，此时需要使用 ssl socket 获取证书内容。下面来一起看看看详细的介绍：

　　示例代码：

　　 // 创建 stream context $context = stream_context_create([ ssl => [ capture_peer_cert => true, capture_peer_cert_chain => true, ], ]); $resource = stream_socket_client(ssl://$domain:$port, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context); $cert = stream_context_get_params($resource); $ssl = $cert[options][ssl]; $resource = $ssl[peer_certificate]; // 网站证书中只有公钥，通过 openssl_pkey_get_details 导出公钥 $ret = [ crt => , pub => , ]; $pkey = openssl_pkey_get_public($resource); $ret[pub] = openssl_pkey_get_details($pkey)[key]; openssl_x509_export($resource, $pem); $ret[crt] = $pem; foreach ($ssl[peer_certificate_chain] as $resource) { openssl_x509_export($resource, $pem); $ret[crt] .= \n . $pem; } // 保存 $ret[crt] 为 domain.crt // 保存 $ret[pub] 为 domain.pub return $ret;

　　验证证书中的公钥A是否正确，通过私钥导出公钥B，比较两者发现一致。

　　函数 stream_socket_client 还有一个用途是当知道服务器 IP 时，能获取到服务器可能可以使用的域名。

　　 $resource = stream_socket_client(ssl://$ip:$port, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context); $cert = stream_context_get_params($resource); // 解析 X.509 格式证书 $info = openssl_x509_parse($cert[options][ssl][peer_certificate]); // 获取证书中的可信域名列表 $domain = str_replace(DNS:, , $info[extensions][subjectAltName]);

　　以上可以看到获取网站证书并不能获得私钥。

　　在一些使用 CDN 的站点，如果使用了 HTTPS 同时又希望使用自有域名，是否需要将自己的私钥提供给 CDN 厂商呢？实际上证书路径与使用者名称（支持 https 的域名）并不需要一致。

　　也就是使用自有域名并进行 CDN 加速时不需要使用自有的 ssl 证书，只需将自己的 CDN 域名加到厂商证书的域名列表即可。

　　总结

　　以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对脚本之家的支持。