Composer报SSL证书错误的根源是PHP未配置可信CA证书包,需下载cacert.pem并配置php.ini中的openssl.cafile或curl.cainfo,重启服务后生效;临时禁用SSL验证仅限开发排查。
Composer 报错 “SSL certificate problem: unable to get local issuer certificate” 通常是因为 PHP 的 cURL 扩展无法验证 HTTPS 连接的 SSL 证书链,常见于 Windows 系统或自定义 PHP 环境(如 XAMPP、WAMP、手动编译的 PHP)。核心原因是 PHP 没有正确配置可信的 CA 证书包。
确认问题根源
先运行以下命令检查是否真为证书问题:
composer diagnose
如果输出中出现 "The openssl extension is loaded, but ssl.capath is not configured" 或类似提示,说明 PHP 的 OpenSSL 配置缺失或不完整。也可以临时测试:
php -r "print_r(openssl_get_cert_locations());"
查看 default_cert_file 和 default_cert_dir 是否指向一个真实存在的、包含有效 CA 证书的路径。若路径为空、不存在,或对应文件内容为空/过期,就是症结所在。
下载并配置 CA 证书包
最稳妥的方式是使用 Mozilla 维护的权威 CA 证书 bundle:
- 访问 https://www.php.cn/link/5fe4dadcdb001d8566cd20e6d8a20251,下载最新
cacert.pem文件 - 将该文件保存到一个稳定路径,例如:
C:\php\extras\ssl\cacert.pem(Windows)或/usr/local/etc/php/cacert.pem(macOS/Linux) - 编辑你的
php.ini文件,在[openssl]或末尾添加:openssl.cafile="C:\php\extras\ssl\cacert.pem"(Windows,注意用双引号和反斜杠或正斜杠均可)
openssl.cafile="/usr/local/etc/php/cacert.pem"(macOS/Linux)
- 重启 Web 服务器(如 Apache/Nginx)和 CLI 的 PHP 进程,确保配置生效
临时绕过(仅限开发环境)
不推荐生产环境使用,但可快速验证是否为证书问题本身:
- 在 Composer 命令前加环境变量(全局禁用 SSL 验证):
COMPOSER_DISABLE_TLS=1 composer install - 或设置 Git 全局跳过 SSL 验证(Composer 依赖 Git 克隆时可能触发):
git config --global http.sslVerify false - 或为当前项目配置 Composer 使用 HTTP 协议(不安全,慎用):
composer config -g repo.packagist.org.url http://packagist.org
⚠️ 这些方法会削弱安全性,仅用于排查或离线开发,切勿在 CI/CD 或生产服务器上长期启用。
其他常见情况与修复
某些集成环境(如 Laragon、XAMPP)自带证书但路径未被识别:
- 检查
php.ini中是否已有curl.cainfo配置项,它影响 cURL 行为,也需指向有效的cacert.pem - 若使用 WSL,确保 Windows 下的 PHP 配置不影响 WSL 内的 PHP;反之亦然
- 升级 Composer 自身:composer self-update,新版对证书兼容性更好
- 检查系统时间是否准确,错误的本地时间会导致证书“未生效”或“已过期”判断失败
