fsockopen<\/code><\/strong><\/a>, was an sich sehr nett ist, und was bei einigen Communities daf\u00fcr sorgt, dass man aus dem IRC-Channel gekickt wird, weil einer der Ops grad schlechte Laune hat. Aber gut. das hat jeder Op mal. fsockopen<\/code> erlaubt es bei PHP Client-Sockets sowohl f\u00fcr udp<\/code>, tcp<\/code> als auch weitere Protokollwrapper zu \u00f6ffnen: Darunter auch SSL und TLS. Das ist an sich schon einmal recht praktisch, jedoch steht nirgends beschrieben, inwiefern mit diesen Funktionen eine \u00dcberpr\u00fcfung des vom Server verschickten Zertifikates m\u00f6glich ist, bzw. ob man ein eigenes Client-Zertifikat mitgeben kann. Wahrscheinlich \u00fcber einen undokumentierten Experimental-Hack im Context-System – oder im Klartext: Nein. Das kommt also f\u00fcr meinen Anwendungsfall nicht in Frage.<\/p>\nGehen wir zum n\u00e4chsten Kandidaten: cURL<\/strong><\/a>. cURL ist so das Leichtgewicht in Sachen HTTP-Sprechen f\u00fcr Anf\u00e4nger. Man kann damit alles M\u00f6gliche machen, nur nicht vern\u00fcnftig arbeiten. Nach dem man mit curl_init<\/code><\/a> sich eine Resource geholt hat, kann man diese zwar konfigurieren und mit Hilfe der Funktion curl_setopt<\/code><\/a> eine Reihe verschiedener Einstellungen setzen: Darunter die SSL-Version, ob das Client- oder Server-Zertifikat gepr\u00fcft werden sollte, die Zertifizierungskette, zu verwendende Cipher und noch ein wenig mehr. Wenn meine Gegenstelle aber nicht SSL, sondern TLS spricht, dann versagt auch cURL kl\u00e4glich.<\/p>\nBliebe noch die Socket-API<\/a><\/strong>. Diese ist zwar nicht allzu intuitiv und das Interface ist genauso vermurkst wie cURL, daf\u00fcr kann man hier aber wenigstens ansatzweise das tun, was ich m\u00f6chte: Arbeiten.<\/p>\nObwohl nicht ganz: Bevor das n\u00e4mlich geht, muss man daf\u00fcr sorgen, dass die OpenSSL-Extension<\/strong><\/a> geladen und konfiguriert ist. Unter Windows ist dies am Einfachsten mit dem Download der PECL-Binaries der Extensions und einem Eintrag <\/p>\nextension=php_openssl.dll<\/pre>\n in seiner php.ini<\/code> getan, aber viel gr\u00f6\u00dfer ist der Aufwand meist auch nicht – vorausgesetzt PHP findet die richtigen Binaries<\/a> f\u00fcr OpenSSL an sich. Unter Linux ist der Support meist bereits durch die Distribution mit in PHP eingebaut, ansonsten muss man sich PHP selber bauen, da es f\u00fcr die OpenSSL-Erweiterung AFAIK kein eigenes Paket gibt (f\u00fcr Debian habe ich zumindest keines gesehen).<\/p>\nOK, also wir haben die Socket-API, wir haben OpenSSL, aber wie quetscht man nun aus dem Socket das Zertifikat raus? Sucht man da bei Google, bekommt man unter anderem jemanden, der versucht hat, mit PHP SSL-Client-Zertifikat-Authentifizierung zu realisieren<\/a>. Gut, nehmen wir seinen Ansatz und bauen das etwas um:<\/p>\n\r\n$site_cert = NULL;\r\n\r\n$context = stream_context_create();\r\n$result = stream_context_set_option($context, 'ssl', 'verify_host', true);\r\n$result = stream_context_set_option($context, 'ssl', 'allow_self_signed', true);\r\n$result = stream_context_set_option($context, 'ssl', 'capture_peer_cert', true);\r\n\r\nif ($fp = stream_socket_client(\"ssl:\/\/svn.benny-baumann.de:443\/\", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context)) {\r\n if ($options = stream_context_get_options($context)) {\r\n var_dump($options);\r\n if (isset($options['ssl']) && isset($options['ssl']['peer_certificate'])) {\r\n $site_cert = $options['ssl']['peer_certificate'];\r\n }\r\n }\r\n fclose($fp);\r\n}\r\n\r\nif ($site_cert) {\r\n openssl_x509_export($site_cert, $str_cert);\r\n $pubkey = openssl_pkey_get_public($str_cert);\r\n $keyinfo = openssl_pkey_get_details($pubkey);\r\n var_dump($keyinfo);\r\n}\r\n<\/pre>\nSoweit so gut: SSL funktioniert. Wenn man aber jegliche Vorkommen von SSL durch TLS austauscht, so rennt man in einen weiteren Bug von PHP<\/a>.<\/p>\nARGH!<\/p>\n
![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\"){kind=icon}
<\/a><\/p>","protected":false},"excerpt":{"rendered":"