Composer HTTPS 请求失败的根本原因是 OpenSSL 3.x 与旧 CA 包不兼容,因禁用 SHA-1 等旧签名算法;需通过 COMPOSER_CAFILE 或 curl.cainfo 指向更新后的系统 CA 包,并验证 openssl_get_cert_locations() 输出路径有效。
Composer HTTPS 请求失败:根本不是证书问题,而是 OpenSSL 版本与 CA 包不兼容
Composer 报错 SSL certificate problem: unable to get local issuer certificate 或 cURL error 60,多数情况并非证书过期或配置错误,而是当前 PHP 绑定的 OpenSSL 版本(如 3.0+)默认禁用旧版 TLS 签名算法(如 SHA-1),而某些老旧 CA 根证书(尤其是自建或内网 CA)仍依赖这些算法。Composer 本身不处理证书验证逻辑,它完全依赖 PHP cURL 扩展背后的 OpenSSL 行为。
检查 PHP 实际使用的 OpenSSL 版本和 CA 路径
运行以下命令确认底层环境:
php -r "print_r(openssl_get_cert_locations());"
重点关注 default_cert_file 和 default_cert_dir。若路径为空或指向一个不存在/过时的目录(如 /usr/lib/ssl/certs),说明 PHP 没有正确加载系统 CA 包。OpenSSL 3.x 默认不再自动读取系统 ca-certificates,需显式指定。
- 若
default_cert_file是空或无效路径,composer install必然失败 - 若 OpenSSL 版本为
3.0.0+,但 CA 包来自 OpenSSL 1.1.x 时代(如 Ubuntu 20.04 的ca-certificates包未更新),SHA-1 签名根证书会被直接拒绝 - 不要修改
openssl.cafile为单个 PEM 文件——这无法覆盖所有中间链,且 Composer 不读取该 ini 设置
强制 Composer 使用可信 CA 包的两种可靠方式
Composer 从 2.5.0 开始支持 COMPOSER_CAFILE 环境变量,优先级高于系统默认路径;同时可配合 php.ini 中的 curl.cainfo 全局生效。
- 下载最新 Mozilla CA 包(推荐):
curl -L https://curl.se/ca/cacert.pem -o /usr/local/share/ca-certificates/cacert.pem && update-ca-certificates
- 设置环境变量(临时):
export COMPOSER_CAFILE=/etc/ssl/certs/ca-certificates.crt
或export COMPOSER_CAFILE=/usr/local/share/ca-certificates/cacert.pem - 永久生效(推荐):在
php.ini中添加curl.cainfo = "/etc/ssl/certs/ca-certificates.crt",然后重启 PHP-FPM 或 Web 服务器 - 避免使用
composer config -g secure-http false—— 这只是关闭 HTTPS 强制校验,不解决根本问题,且会禁用 Packagist 官方源
内网环境或自签名 CA 的特殊处理
如果公司使用私有 CA,不能依赖公共 CA 包,必须把内网根证书合并进系统信任库,并确保 OpenSSL 3.x 能识别其签名算法。
- 将内网根证书(PEM 格式)放入
/usr/local/share/ca-certificates/,文件名以.crt结尾 - 执行
update-ca-certificates --fresh(Debian/Ubuntu)或trust extract-compat(RHEL/CentOS 8+) - 验证是否生效:
php -r "var_dump(openssl_get_cert_locations()['default_cert_file']);"
应返回包含你证书的 bundle 路径(如/etc/ssl/certs/ca-certificates.crt) - 若仍失败,检查该证书是否使用 SHA-1 签名:
openssl x509 -in your-ca.crt -text -noout | grep "Signature Algorithm"
,OpenSSL 3.x 默认拒绝 SHA-1;需联系 CA 运维重签为 SHA-256
最常被忽略的是:OpenSSL 升级后,旧 CA 包不会自动适配新策略,必须重新生成 bundle 并验证路径是否被 PHP 正确加载——光改配置文件没用,得看 openssl_get_cert_locations() 的实际输出。
