PHP不直接写密钥,而是通过OpenSSL扩展加载由openssl等系统命令生成的密钥文件;需用绝对路径、600权限、Web目录外存放,并注意CLI与Web服务器用户权限差异。
PHP 本身不直接“写密钥”,它依赖 OpenSSL 扩展生成或操作密钥;真正的密钥文件(如 id_rsa、private.key)由系统命令(如 ssh-keygen、openssl)生成,PHP 只负责读取、加载或参与签名/验签流程。
用 openssl 命令行生成 PEM 格式密钥对
PHP 的 openssl_pkey_new() 虽可生成密钥,但默认不写入文件,且易因权限/路径问题失败。更可靠的做法是用 Linux 原生命令生成:
-
openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048(推荐,现代语法) -
openssl genrsa -out private.key 2048(兼容旧版本) -
openssl rsa -in private.key -pubout -out public.key(提取公钥) - 确保 PHP 进程有读取权限:
chmod 600 private.key,并避免放在 Web 可访问目录(如/var/www/html/)
PHP 中加载私钥的常见错误和写法
用 openssl_pkey_get_private() 读私钥时,90% 的报错源于路径、权限或格式问题:
- 路径必须是绝对路径,
__DIR__ . '/keys/private.key'比'./keys/private.key'更可靠 - 若提示
failed to load private key,先用openssl rsa -check -in private.key验证文件是否损坏或密码保护 - 带密码的私钥需传入密码参数:
openssl_pkey_get_private($pem, 'mypass') - 如果密钥是 PKCS#8 格式(开头为
-----BEGIN PRIVATE KEY-----),PHP 7.1+ 原生支持;老版本建议转成传统 PEM:openssl pkcs8 -in private.key -out private_legacy.key -traditional
在 CLI 和 Web 环境下密钥路径权限差异
同一段 PHP 代码,在 php script.php 下能读密钥,但在 Apache/Nginx 下却失败,通常不是代码问题,而是用户权限不同:
立即学习“PHP免费学习笔记(深入)”;
- CLI 模式运行在当前用户(如
youruser)下,而 Web 服务器常以www-data或apache用户运行 - 执行
ls -l private.key查看属主,必要时用sudo chown www-data:www-data private.key - 不要给私钥加 group/o 可读权限(即避免
chmod 644),最小权限原则:600 + 正确属主 - Web 目录外存放密钥更安全,例如
/etc/php-secrets/,并确保该目录对 Web 用户不可遍历
密钥不是“配置”出来的,而是生成后被 PHP 加载使用的;真正容易出问题的,从来不是函数怎么调,而是谁在什么权限下、用什么路径、读什么格式的文件。
