本文详解 symfony 应用通过 hubinterface 向本地 caddy mercure hub 推送更新时出现 “failed to send an update” 及 ssl 证书验证错误(unable to get local issuer certificate)的根本原因与安全可行的解决方案。
在本地开发环境中使用 Symfony 集成 Mercure(尤其是搭配 Caddy 运行的自签名 HTTPS Hub)时,常见报错如下:
Failed to send an update SSL certificate problem: unable to get local issuer certificate for "https://localhost/.well-known/mercure"
或使用原生 PHP file_get_contents() 调用时触发警告:
Warning: file_get_contents(https://localhost/.well-known/mercure): Failed to open stream: operation failed
该问题并非 Mercure 配置错误,而是 PHP cURL(由 Symfony HttpClient 默认驱动)严格校验 TLS 证书所致。Caddy 在开发模式下(如 Caddyfile.dev)默认使用自签名证书,而 PHP 的 OpenSSL 扩展无法自动信任此类证书——这与终端 curl 命令行为不同:系统 curl 可能已配置信任系统密钥链,或隐式跳过验证(但实际仍可能受 --cacert 或环境影响),而 PHP 的 ext-curl 默认启用 CURLOPT_SSL_VERIFYPEER=1 且不加载系统 CA 包(尤其在 macOS M1 上 Homebrew 安装的 PHP 常缺失正确 CA 路径)。
✅ 推荐解决方案(开发环境适用):禁用 HttpClient 的 SSL 证书验证
在 config/packages/framework.yaml 中显式配置 HTTP 客户端,默认关闭证书校验:
# config/packages/framework.yaml
framework:
http_client:
default_options:
verify_peer: false
# 可选:同时禁用主机名验证(若需更宽松适配)
# verify_host: false⚠️ 注意:verify_peer: false 仅限开发环境使用。生产环境必须使用有效 TLS 证书(如 Let’s Encrypt),并保持 verify_peer: true(默认值),否则将面临中间人攻击风险。
? 替代方案(更安全的长期实践):为 PHP 指定可信 CA 路径
若希望保留证书验证(推荐用于 CI 或类生产环境),可手动配置 CA 证书路径:
- 获取 Caddy 生成的根证书(通常位于 ~/.local/share/caddy/authorities/local/root.crt);
- 在 php.ini 中设置:
curl.cainfo="/Users/yourname/.local/share/caddy/authorities/local/root.crt" openssl.cafile="/Users/yourname/.local/share/caddy/authorities/local/root.crt"
- 重启 PHP(如 Symfony CLI 服务)后生效。
? 验证是否生效
修改配置后,执行以下命令测试 Mercure 发布逻辑:
symfony console mercure:publish --topic="https://example.com/test" --data='{"msg":"hello"}'若不再报 SSL 错误且 Caddy 日志显示 published update,即表示修复成功。
? 小结
