composer ssl报错本质是php openssl扩展无法验证https证书链,因curl.cainfo或openssl.cafile未正确指向有效ca证书文件,需修复信任链而非禁用验证。
Composer 安装或更新时遇到 SSL 证书报错,本质是 PHP 的 OpenSSL 扩展无法验证 Packagist 等远程 https 站点的证书链——这不是 Composer 自身问题,而是底层 TLS 握手失败。直接禁用证书验证只是掩耳盗铃,真正可靠的做法是修复证书信任链或明确绕过不可信环境。
为什么 composer install 突然报 cURL Error 60: SSL certificate problem
常见于:windows WAMP/XAMPP、docker Alpine 镜像、企业代理后、PHP 编译时未绑定系统 CA 包。根本原因是 PHP cURL 默认不读取系统级证书(如 /etc/ssl/certs/ca-certificates.crt),而依赖编译时指定的 openssl.cafile 或 curl.cainfo 路径。一旦该路径为空、指向错误文件或文件过期,就会触发验证失败。
- 检查当前配置:
php -r "print_r(openssl_get_cert_locations());" - 确认
curl.cainfo和openssl.cafile是否指向有效 PEM 文件(如/usr/lib/ssl/certs/ca-certificates.crt) - Windows 下常见问题是 XAMPP 自带的
php.ini中这两项被注释或指向了不存在的curl-ca-bundle.crt
安全修复:让 PHP 正确加载系统 CA 证书
不推荐全局关 SSL,优先补全证书信任链。linux/macos 通常自带可信根证书,只需让 PHP 知道位置;Windows 需手动下载并配置。
- Linux(debian/ubuntu):
sudo apt install ca-certificates,然后在php.ini中设curl.cainfo = /etc/ssl/certs/ca-certificates.crt - macOS(Homebrew PHP):
brew install ca-certificates,再执行brew link --force ca-certificates,最后配curl.cainfo = /usr/local/etc/openssl/cert.pem - Windows:从 curl 官网 下载
cacert.pem,保存到例如C:phpextrassslcacert.pem,并在php.ini中写入curl.cainfo = "C:phpextrassslcacert.pem" - 改完重启 Web 服务或 CLI PHP 进程,用
php -m | grep openssl和php -i | grep -i cainfo验证
临时方案:仅对 Composer 关闭证书验证(仅限开发/离线环境)
仅当确认网络环境可控(如本地 Docker、CI 构建机无外网)、且无法修复 CA 配置时使用。切勿在生产部署脚本中固化此设置。
- 单次命令绕过:
composer install -n --no-interaction --ignore-platform-reqs不解决 SSL,必须配合环境变量 - 正确临时关闭:
export COMPOSER_DISABLE_TLS=1(Linux/macOS)或set COMPOSER_DISABLE_TLS=1(Windows CMD) - 更细粒度控制(推荐):
git config --global http.sslVerify false—— 因 Composer 默认走 git 协议拉取私有包,此设置影响更大 - 注意:
COMPOSER_CAFILE环境变量可指定自定义证书路径,比全局关 TLS 更安全
最易被忽略的是:Docker 构建中 PHP 镜像(尤其是 alpine)默认不含完整 CA 包,apk add ca-certificates 后还需运行 update-ca-certificates,否则证书文件存在但未生效。另外,某些 ide 内置终端可能加载不同版本的 php.ini,导致 CLI 正常但 IDE 控制台报错。