根本原因是PHP的OpenSSL扩展未配置openssl.cafile路径,需下载cacert.pem并修改php.ini中openssl.cafile指向该文件,重启环境后验证生效。
Composer 报 SSL 证书错误(如 cURL error 60: SSL certificate problem: unable to get local issuer certificate),根本原因不是 Composer 本身问题,而是 PHP 的 OpenSSL 扩展找不到可信的 CA 根证书文件,或指向了错误路径。
确认 PHP 是否启用 openssl 且 cafile 未配置
运行 php -m | grep openssl 确保模块已加载;再执行 php -i | grep "openssl.cafile"。若输出为空或显示 no value,说明 PHP 没有指定 CA 文件路径,此时即使系统有证书,PHP 也不会自动使用。
- Windows 下常见于 WAMP/XAMPP 默认不设
openssl.cafile - macOS 使用 Homebrew 安装的 PHP 通常也不预设该值
- Linux 发行版包管理安装的 PHP 可能依赖系统证书路径(如
/etc/ssl/certs/ca-certificates.crt),但 Composer 有时仍会绕过
手动指定 openssl.cafile 到可信证书文件
最稳妥做法是下载 Mozilla 维护的权威 CA 列表,并在 php.ini 中显式配置。不要依赖系统路径或试图“跳过验证”(如设 curl.cainfo 或改 Composer 的 disable-tls)——这会带来安全风险且不解决根源。
- 从 https://www.php.cn/link/5fe4dadcdb001d8566cd20e6d8a20251 下载最新
cacert.pem - 保存到固定位置,例如:
C:\php\extras\ssl\cacert.pem(Windows)或/usr/local/etc/php/cacert.pem(macOS) - 编辑
php.ini,添加或修改这一行:openssl.cafile="/path/to/cacert.pem"
(注意:路径必须用双引号包裹,Windows 用正斜杠或双反斜杠) - 重启 Web 服务器或 CLI 环境,再运行
php -i | grep "openssl.cafile"验证是否生效
验证是否真正修复 composer install
配置生效后,composer install 或 composer update 应不再报 SSL 错误。但要注意几个干扰点:
- CLI 和 Web SAPI 可能加载不同
php.ini,务必确认你改的是php -i显示的那个配置文件 - 某些 IDE(如 PHPStorm)内置终端可能缓存旧 PHP 配置,需重启终端或检查其 PHP 解释器路径
- 如果仍失败,运行
composer diagnose,它会明确提示openssl.cafile是否被识别、证书是否可读 - 极少数情况是代理或防火墙重签流量,此时需联系网络管理员,而非修改本地证书
真正起作用的是 PHP 层级的 openssl.cafile,不是 Composer 自己的配置项。很多人花时间改 composer.json 或环境变量,结果白忙——关键永远在 php.ini 里那一行。
