composer如何解决由于OpenSSL版本不匹配导致的HTTPS请求失败_composer安全【详解】

composer httpS 请求失败的根本原因是 Openssl 3.x 与旧 CA 包不兼容，因禁用 SHA-1 等旧签名算法；需通过 COMPOSER_CAFILE 或 curl.cainfo 指向更新后的系统 CA 包，并验证 openssl_get_cert_locations() 输出路径有效。

Composer https 请求失败：根本不是证书问题，而是 OpenSSL 版本与 CA 包不兼容

Composer 报错 SSL certificate problem: unable to get local issuer certificate 或 cURL Error 60，多数情况并非证书过期或配置错误，而是当前 php 绑定的 OpenSSL 版本（如 3.0+）默认禁用旧版 TLS 签名算法（如 SHA-1），而某些老旧 CA 根证书（尤其是自建或内网 CA）仍依赖这些算法。Composer 本身不处理证书验证逻辑，它完全依赖 PHP cURL 扩展背后的 OpenSSL 行为。

检查 PHP 实际使用的 OpenSSL 版本和 CA 路径

运行以下命令确认底层环境：

php -r "print_r(openssl_get_cert_locations());"

重点关注 default_cert_file 和 default_cert_dir。若路径为空或指向一个不存在/过时的目录（如 /usr/lib/ssl/certs），说明 PHP 没有正确加载系统 CA 包。OpenSSL 3.x 默认不再自动读取系统 ca-certificates，需显式指定。

• 若 default_cert_file 是空或无效路径，composer install 必然失败
• 若 OpenSSL 版本为 3.0.0+，但 CA 包来自 OpenSSL 1.1.x 时代（如 ubuntu 20.04 的 ca-certificates 包未更新），SHA-1 签名根证书会被直接拒绝
• 不要修改 openssl.cafile 为单个 PEM 文件——这无法覆盖所有中间链，且 Composer 不读取该 ini 设置

强制 Composer 使用可信 CA 包的两种可靠方式

Composer 从 2.5.0 开始支持 COMPOSER_CAFILE 环境变量，优先级高于系统默认路径；同时可配合 php.ini 中的 curl.cainfo 全局生效。

• 下载最新 Mozilla CA 包（推荐）：

  curl -L https://curl.se/ca/cacert.pem -o /usr/local/share/ca-certificates/cacert.pem && update-ca-certificates

• 设置环境变量（临时）：

  export COMPOSER_CAFILE=/etc/ssl/certs/ca-certificates.crt

  或 export COMPOSER_CAFILE=/usr/local/share/ca-certificates/cacert.pem

• 永久生效（推荐）：在 php.ini 中添加 curl.cainfo = "/etc/ssl/certs/ca-certificates.crt"，然后重启 PHP-FPM 或 Web 服务器
• 避免使用 composer config -g secure-http false —— 这只是关闭 HTTPS 强制校验，不解决根本问题，且会禁用 Packagist 官方源

内网环境或自签名 CA 的特殊处理

如果公司使用私有 CA，不能依赖公共 CA 包，必须把内网根证书合并进系统信任库，并确保 OpenSSL 3.x 能识别其签名算法。

• 将内网根证书（PEM 格式）放入 /usr/local/share/ca-certificates/，文件名以 .crt 结尾
• 执行 update-ca-certificates --fresh（debian/Ubuntu）或 trust extract-compat（RHEL/centos 8+）
• 验证是否生效：

  php -r "var_dump(openssl_get_cert_locations()['default_cert_file']);"

  应返回包含你证书的 bundle 路径（如 /etc/ssl/certs/ca-certificates.crt）

• 若仍失败，检查该证书是否使用 SHA-1 签名：

  openssl x509 -in your-ca.crt -text -noout | grep "Signature Algorithm"

  ，OpenSSL 3.x 默认拒绝 SHA-1；需联系 CA 运维重签为 SHA-256

最常被忽略的是：OpenSSL 升级后，旧 CA 包不会自动适配新策略，必须重新生成 bundle 并验证路径是否被 PHP 正确加载——光改配置文件没用，得看 openssl_get_cert_locations() 的实际输出。