Composer如何配置仓库HTTPS验证_Composer仓库HTTPS验证配置攻略

Composer 2.5+ 报 cURL error 60 的根本原因是 OpenSSL 无法加载 ssl.cafile 配置的证书链，需确保 PEM 格式、完整证书链（中间 CA+根 CA）、无 BOM/空行/注释，并用 --global 全局配置且 PHP 进程有读取权限。

从 Composer 2.0 开始，强制使用 HTTPS 连接已经是默认行为。但问题来了：当你配置了私有仓库，而它的证书不被系统信任时，那个经典的 cURL error 60: SSL certificate problem 错误依然会频繁出现。其实，问题的核心早已不是“要不要走 HTTPS”，而是“系统能不能成功验证你提供的证书”。所以，关键不在于开关某个配置项，而在于如何让底层的 OpenSSL 正确识别并信任你的证书颁发机构（CA）。

为什么设置了 ssl.cafile 还报 cURL error 60？

这可能是最让人困惑的地方：明明配置了路径，为什么错误依旧？根本原因在于，Composer 2.5 及以上版本的处理逻辑发生了变化。它不再简单地将 ssl.cafile 的路径直接传递给 cURL，而是会先用这个文件去初始化 OpenSSL 的上下文。一旦这个环节出问题——比如路径错误、文件格式不对、或者权限不足——Composer 就会静默地回退到使用系统默认的 CA 证书库，然后继续抛出证书验证失败的错误。整个过程，你几乎看不到任何关于“配置加载失败”的明确提示。

下面这几个，就是最常见的踩坑点：

• 你配置的 ssl.cafile 指向了一个单独的 .crt 文件（例如从公司内网导出的 Windows .cer 证书），但 OpenSSL 要求的是 PEM 格式，并且必须包含完整的证书链（即中间 CA 证书和根 CA 证书都要有）。
• 手动用文本编辑器拼接证书文件时，不小心引入了 BOM 头、多余的空行或者注释，导致执行 openssl x509 -in ca.pem -text -noout 命令直接失败。
• 只在项目级别配置了 composer config ssl.cafile /path/to/ca.pem，但实际在命令行执行 composer install 的是全局的 Composer 进程，它根本不会去读取当前项目的这个配置。
• 运行 PHP 的进程用户（比如常见的 www-data）没有权限读取存放在你家目录下的证书文件，这种情况在 Docker 容器或者 nginx/php-fpm 环境下尤其普遍。

如何生成 Composer 可识别的 PEM 证书链文件？

首先必须确保，你的证书文件是 OpenSSL 能够正确解析的、纯 PEM 格式的合并证书链。正确的顺序是：中间 CA 证书在前，根 CA 证书在后。这里有个忠告：尽量不要手动拼接，使用 cat 命令来合并更安全可靠：

cat intermediate.crt root.crt > company-ca.pem

生成之后，立刻验证文件是否有效：

openssl x509 -in company-ca.pem -text -noout

如果这条命令报错 “unable to load certificate”，那就说明文件不是合法的 PEM 格式，或者内容已经损坏。这时候可以按照以下思路来补救：

• 如果原始证书是 DER 格式（例如后缀为 .cer），先用 OpenSSL 把它转换成 PEM 格式：openssl x509 -inform DER -in your-ca.cer -outform PEM -out ca.pem
• 确认文件里没有多余的空行，也没有 UTF-8 BOM 头（可以用 file -i company-ca.pem 命令检查文件编码）。
• 确保文件内容只包含证书数据，不要混入任何非证书内容（比如像 -----BEGIN RSA PRIVATE KEY----- 这样的私钥，或者大段的注释文字）。

必须用 --global 配置 ssl.cafile

这一点至关重要：在项目级的 composer.json 文件里设置 config.ssl.cafile，对于 HTTPS 仓库的认证是无效的。这个配置项只影响部分本地路径的解析逻辑，并不会参与到网络层的 TLS 握手过程中。

正确的做法是进行全局设置，并且务必确认配置已经生效：

composer config --global ssl.cafile /etc/ssl/certs/company-ca.pem

composer config --global --list | grep ssl.cafile

执行后，输出应该显示你设置的实际路径。当然，如果你没有权限将证书放到系统路径（比如在某些受限制的 CI/CD 环境中），可以换个思路，从 PHP 层面进行控制：

• 在 php.ini 中设置 openssl.cafile=/path/to/company-ca.pem（这是最推荐的方式）。
• 或者设置 curl.cainfo=/path/to/company-ca.pem，效果是等同的。
• 修改完成后，记得重启相关的 PHP 进程（对于命令行，可以执行 php --ini 来确认配置已被加载）。

secure-http=true 是默认值，别白配

运行 composer config -g secure-http true 这个操作，在绝大多数情况下是没有意义的——因为从 Composer 2.0 开始，这个选项的默认值就是 true。真想确认一下，运行 composer config -g secure-http 看看输出是不是 true 就行了。

所以，真正需要你动手去做的，其实只有两件事：

• 检查并删除 composer.json 中所有以 http:// 开头的仓库地址，全部替换成 https://。
• 确保你的私有仓库地址（例如 https://pkg.example.com）能够被基础的网络工具正常访问。不妨先用 curl -vI https://pkg.example.com/packages.json 命令测试一下，看看证书验证是否能顺利通过。

记住一个简单的判断原则：如果连 curl 命令都过不去，那么 Composer 必然也会失败。遇到问题，先别急着反复调整 Composer 的配置，不妨沉下心来，从底层的 OpenSSL 信任链开始排查，往往能更快找到症结所在。