PHP7，带有卷标的HTTP2

Question

当我通过PHP7 + cURL向APN发送推送消息时，收到错误消息。

错误消息：

�@@�HTTP/2 client preface string missing or corrupt. Hex dump for received bytes: 

我想这是因为PHP7的，但不是很确定。与phpinfo（）我可以看到，没有mod_ssl加载，但从互联网它说PHP7支持ssl的性质，所以openssl.so不再存在于系统中。另外它与phpinfo（）很奇怪我看到openssl版本是1.0.1e这是与redhat7，而不是我从源安装的。

我通过yum安装了php7，其余的openssl，nghttp，curl从源码安装。

PHP代码：

$ch = curl_init(); 

curl_setopt($ch, CURLOPT_HTTP_VERSION, 3); 
//curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_2_0); 
curl_setopt($ch, CURLOPT_URL, $url); 
curl_setopt($ch, CURLOPT_POSTFIELDS, $alert); 
curl_setopt($ch, CURLOPT_HTTPHEADER, array("apns-topic: $apns_topic")); 
curl_setopt($ch, CURLOPT_SSLCERT, $pemfile); 
curl_setopt($ch, CURLOPT_SSLCERTPASSWD, $pempwd); 
$response = curl_exec($ch); 

服务器是REDHAT 7.环境信息可以为下面找到。

$ openssl version 
OpenSSL 1.0.2g 1 Mar 2016 

curl --version 
curl 7.48.0 (x86_64-pc-linux-gnu) libcurl/7.48.0 OpenSSL/1.0.2g nghttp2/1.9.2 
Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp 
Features: IPv6 Largefile NTLM NTLM_WB SSL TLS-SRP HTTP2 UnixSockets 

$ php --version 
PHP 7.0.5 (cli) (built: Apr 2 2016 13:08:13) (NTS) 
Copyright (c) 1997-2016 The PHP Group 
Zend Engine v3.0.0, Copyright (c) 1998-2016 Zend Technologies 

$ curl --http2 -I https://nghttp2.org 
HTTP/2.0 200 
date:Sun, 17 Apr 2016 13:15:27 GMT 
content-type:text/html 
last-modified:Sat, 16 Apr 2016 14:56:04 GMT 
etag:"57125284-1a0a" 
accept-ranges:bytes 
content-length:6666 
x-backend-header-rtt:0.001459 
strict-transport-security:max-age=31536000 
server:nghttpx nghttp2/1.10.0-DEV 
via:2 nghttpx 
x-frame-options:SAMEORIGIN 
x-xss-protection:1; mode=block 
x-content-type-options:nosniff 

即使我可以使用命令行发送推送消息给我的电话：

curl -d '{"aps":{"alert":"test message","sound":"default"}}' --cert /xxx/xxx.pem:xxxx -H "apns-topic:chs.itsme" --http2 https://api.development.push.apple.com/3/device/85f0257xxxxx 

Answer 1

我一直是同样的问题，发现主要原因是根CA的认证文件。

下面是我的ENV：

• 卷曲：7.48
• 的OpenSSL：1.0.2g
• PHP：5.6.18

为什么？

主要原因是认证。特别是，根CA的证书。当它不存在或在系统中存在错误路径时，可能会发生错误。

而且您需要知道如何在此问题上使用CURLOPT_SSL_VERIFYPEER。 如果您未定义CURLOPT_SSL_VERIFYPEER选项，它将具有默认值true。通过此选项可验证端点主机SSL证书以避免安全问题，如man in the middle攻击。它在验证过程中使用安装在系统中的根CA证书。

解决方案1 ​​

检出或安装根CA的证书。 一般来说，它是安装openssl。如果遇到错误消息，它将不会安装在适当的路径中或存在。

因此，请使用以下命令检出文件。

$ php -r "var_dump(openssl_get_cert_locations());"

的结果的一个例子：

array(8) { 
    ["default_cert_file"]=> 
    string(38) "/usr/local/openssl-1.0.2g/ssl/cert.pem" 
    ["default_cert_file_env"]=> 
    string(13) "SSL_CERT_FILE" 
    ["default_cert_dir"]=> 
    string(35) "/usr/local/openssl-1.0.2g/ssl/certs" 
    ["default_cert_dir_env"]=> 
    string(12) "SSL_CERT_DIR" 
    ["default_private_dir"]=> 
    string(37) "/usr/local/openssl-1.0.2g/ssl/private" 
    ["default_default_cert_area"]=> 
    string(29) "/usr/local/openssl-1.0.2g/ssl" 
    ["ini_cafile"]=> 
    string(0) "" 
    ["ini_capath"]=> 
    string(0) "" 
} 

在上文中，默认证书文件路径是 “/usr/local/openssl-1.0.2g/ssl/cert.pem” 。你会有根CA的证书吗？如果您拥有它，但位于不同的路径中，请将其移动到文件名为“cert.pem”的缺省证书文件路径。如果你没有它，你需要下载它，如http://curl.haxx.se/ca/cacert.pem。

$ wget http://curl.haxx.se/ca/cacert.pem

然后将其移到在默认的证书文件的路径。

解决方案2

CURLOPT_SSL_VERIFYPEER =>假

此选项可以解决你的问题。但有可能让您的系统遭受the man in the middle攻击。