Discussion :

[philoo91]

Bonjour, Bonsoir,

Après avoir tourner en rond sur le Net j'ignore où se situe la raison de mon problème qui est l'erreur :

CURLE_SSL_CACERT (60)
Peer certificate cannot be authenticated with known CA certificates.

J'accuse mon serveur Apache PHP qui ne sait pas y faire.
Parce que en mode que je qualifierais d'autonome : l'utilisation de l'application GOOGLE Insomnia tout se déroule à merveille.
Sauf que ce n'est pas mon serveur qui travaille.

Donc :

J'ignore si les certificats sont correctement installé sur le serveur Apache PHP
et
J'ignore si le code PHP (ci-après) tournant sur ce serveur est correct

Si déjà je pouvait identifier lequel des deux est fautif ce serait un grand bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
$url='https://www.registre-coproprietes-prp.sully-group.fr/api/v1/ws/coproprietes/'   
$ch = curl_init();    
    curl_setopt($ch,CURLOPT_URL,$url);
    curl_setopt($ch,CURLOPT_HEADER,false);
    curl_setopt($ch,CURLOPT_CUSTOMREQUEST,"POST");
    curl_setopt($ch,CURLOPT_POSTFIELDS,$json);
    curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
    curl_setopt($ch,CURLOPT_CAINFO,"C:/Apache2.2/conf/ssl_path_irc/cert.pem");
    curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,true);
    curl_setopt($ch,CURLOPT_HTTPHEADER,array(
                                        'Content-Type: application/json',
                                        'Content-Length: ' . strlen($json)
                                     ));
    curl_setopt($ch,CURLOPT_VERBOSE,true);
    curl_setopt($ch,CURLOPT_STDERR,$fileHandle);
 
    //$resultSetOpt=curl_setopt_array($ch ,$curlOptions);
    //curl_setopt($ch, CURLOPT_CAINFO, "C:/Apache2.2/conf/ssl_path_irc","cert.pem");
 
    $result=curl_exec($ch);
    echo "<p>Result = ";var_dump($result);echo "</p>";
 
    $cInfo=curl_getinfo($ch);  
 curl_close($ch);

Pour information supplémentaires :

• la valeur du curl_getinfo retourne presque tout a zéro ou vide
• la valeur du résultat de curl_exec est un booléen à faux

Est ce que quelqu'un ici est en mesure de valider ce source PHP

Si vous avez des idées

[grunk]

C'est erreur vient du fait les CA certificat embarqué dans ta version de curl ne sont pas capble d'authentifier le certificat client.
PHP 5.2 à 11 ans donc autant te dire qu'il doit manquer un paquet de certificats à ton curl.

La solution la plus simple est de désactiver la vérification coté CURL , tu perd en revanche la sécurité de l'authentification :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);

Peut être est il possible de mettr eà jour les certificats au niveau du serveur , mais sans certitude que curl les retrouvent.

Apache ne rentre pas dans l'équation de ton problème.

[philoo91]

Merci de ta prompte réponse.

1/ Les certificats ne m'appartiennent pas.
Il m'ont été fournis par le prestataire de service auprès duquel je tente d'accéder à cet WebApi RestFull

2/ Le PHP version 5.2 sur le serveur Apache est employé par ailleurs pour tout un portail WEB pour nos clients.
Donc autant dire qu'il va me falloir oublier l'idée de monter sa version.

3/Côté PHP, l'idée de désactiver le contrôle de la certification m'est venue à l'esprit résultat : ==> KO.

5/ Tu me parles d'apache qui est en dehors de toute la problématique : très bien, ça j'aime bien.
Mais coté PHP ? Quel serais ton avis ?
Aurais je loupé des paramètres à fixer si oui lesquels et avec quelles valeurs ?
Y en aurait-il que j'aurais fixé de travers ? si oui lesquels et quelle serait la bonne valeur pour chacun d'eux ?

Merci à Toi

[sabotage]

Pour le point 3, tu veux dire que tu as eu la meme erreur en desactivant le contrôle ?

Vérifie que ton serveur est à la bonne date/heure.

[grunk]

Aurais je loupé des paramètres à fixer si oui lesquels et avec quelles valeurs ?

Curl embarque un certains nombre d’autorité de certification (CA Certificate) comme le fait un navigateur.
C'est ça qui lui permet de dire le certificats du site X est bien un certificat valide délivré par l'autorité Y.

Les navigateurs sont mis à jour de façon transparente , il n'ya donc en général pas de problème avec les nouvelles entitées de certification qui ne seraient pas reconnues.

En revanche pour CURL c'est figé , quand tu met à jour la version du curl , tu met à jour le "CA bundle" qu'il embarque et qui lui permet de vérifier la validité des certificats.

Comme je le disais dans mon message précédent , il est sans doute possible de mettre à jour la liste des autorités reconnues par le système. Fait quelques recherche sur la mise à jour du CA Bundle de curl et plus particulièrement dans PHP pour voir si il existe des solutions.

[sabotage]

Les certificats curl à jour sont là :
https://curl.haxx.se/docs/caextract.html

[philoo91]

Bonjour,

Que dois je faire avec le lien que tu indiques : https://curl.haxx.se/docs/caextract.html

Lequel dois je prendre ?
Ou le mettre sur mon client ou sur mon serveur ?

@+

[grunk]

Tu peux spécifier à CURl quel certificats utiliser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

curl_setopt($ch, CURLOPT_CAINFO, 'chemin/vers/cacert.pem');

Voir : http://php.net/manual/en/function.curl-setopt.php

A partir de php 5.3.7 tu peux le spécifier directement dans le php.ini : http://php.net/manual/fr/curl.configuration.php

[philoo91]

Je pensais bien que c'était ce que tu voulais que je fasse.
Seulement le certificat que j'utilise est celui qui m'a été fourni par la société qui détient la web api sur laquelle je cherche à me utiliser.

De plus je n'ai pas accès à la partie administration de notre serveur

Je suis désolé.

[grunk]

Il ont un certificat GeoTrust, ca reste standard.

As tu essayé la manipulation indiqué précédemment :

- Télécharger le fichier pem sur l'url fournie par sabotage
- Rajouter la ligne d'option fournissant son chemin (cf mon msg précédent)

[philoo91]

Re bonjour à Tous,

Alors pour la maniip concernant le fichier certificat, que l'on soit bien clair tous,
est a effectuer sur mon serveur apache et la manip de chemin est à faire dans mon code php ?
J'essayerais cela aujourd'hui je ne suis plus à cela près.

J'vous tiens au courant.

Autre chose :
Vu ma galère avec le trio serveur + php + certif pour requeter une malheureuse web api restful
J'en suis venu à faire le travail coté client :
A coup de $.ajax en post et meme si je fixe par des setRequestHeader l'origine et le allow cors j'obtient une erreur 403 : accès interdit.
Chose suprenante aussi c'est lors de ma première tentative au run le navigateur (google chrome) que j'utilise m'ouvre bien la fenêtre des certificats pour choisir le mien
Je ne risque pas de me gourrer dans le choix de certificat à ce moment prècis, vu que dans la liste il n'y a que le mien.
Si le coeur t'en dit je peut te filer les deux url pour que tu te rende compte du merdier ou bordel.(J'sais même plus comment j'pourrais dire)

https://egestion.immo:4433/irc_ajax.php
==>Requetage web api par ajax (faut appuyer sur le bouton "s'incrire" (et en suite si l'on zieute la console et le waterfall on n'est vraiment pô deçus)

https://egestion.immo:4433/irc_send.php
==>Cette autre URL avec une page WEB pour seulement avoir une trace visuelle de ce qui se passe sur apache avec php
Le requettage ici est effectué par PHP directement
Observe le champ errno (60) et rend toi à l'url indiqué (https://curl.haxx.se/libcurl/c/libcurl-errors.html)
Pour info : avec un bon PHP à jour (> 5.2) le libellé de cette erreur (60) peut être obtenue avec la commande php curl_strerror (errornumber) (http://php.net/manual/en/function.curl-strerror.php)
Malheureusement j'ai pô l'bon PHP.

C'est la bite et l'couteau ici (là où j'bosse)

@+

[grunk]

Alors pour la maniip concernant le fichier certificat, que l'on soit bien clair tous,
est a effectuer sur mon serveur apache et la manip de chemin est à faire dans mon code php ?

Encore une fois, Apache n'a rien à voir dans l'équation.

Tu télécharges le fichier, tu l'envois sur ton serveur dans le dossier qui te fait plaisir et dans ton code PHP tu insères la ligne dont j'ai parler précédemment en donnant le chemin absolu vers le fichier. Que Apache soit sur le serveur ou non n'a aucune espèce d'importance , faut bien comprendre que PHP n'a pas besoin d'apache pour fonctionner ...

Mais en principe curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,true); aurait déjà du être suffisant.

[philoo91]

Bouh !

Y a du changement, c'est bien pourrait on penser.
Seulement le changement se résume à ceci :

Result = string(189) "HTTP/1.0 403 Forbidden Cache-Control: no-cache Connection: close Content-Type: text/html

403 Forbidden

Request forbidden by administrative rules. "

curl_getinfo = array(22) { ["url"]=> string(76) "https://www.registre-coproprietes-prp.sully-group.fr/api/v1/ws/coproprietes/" ["content_type"]=> string(9) "text/html" ["http_code"]=> int(403) ["header_size"]=> int(95) ["request_size"]=> int(183) ["filetime"]=> int(-1) ["ssl_verify_result"]=> int(0) ["redirect_count"]=> int(0) ["total_time"]=> float(0.25) ["namelookup_time"]=> float(0) ["connect_time"]=> float(0.015) ["pretransfer_time"]=> float(0.234) ["size_upload"]=> float(0) ["size_download"]=> float(94) ["speed_download"]=> float(376) ["speed_upload"]=> float(0) ["download_content_length"]=> float(-1) ["upload_content_length"]=> float(2599) ["starttransfer_time"]=> float(0.25) ["redirect_time"]=> float(0) ["errno"]=> NULL ["errmsg"]=> string(189) "HTTP/1.0 403 Forbidden Cache-Control: no-cache Connection: close Content-Type: text/html



(*Result est le résultat fourni par la commande curl_exec)
(*Le array est la valeur du curl_getinfo)

@+

[grunk]

Ce n'est plus un problème avec curl , ca ressemble plus à un blacklistage par l'API.

Tu as peut être excédé ton quota de requête ?

[philoo91]

Excédé ?
Ouais mais c'est moi qui est excédé pas mon quotta de requête (ça c'est une info plus que sure)

Autre chose :
Je me suis rendu compte d'un truc ,
Coté client j'y vais avec la formule :

$.ajax({
type:"POST",//J'te mets en dur pour bien montrer que c'est ça et pas autre chose
url:maurl,
....
});
Résultat à la console : err 403 forbidden (interdit) parce que le post est transformé en options

Vous l'croyez ça ?
Et bien la preuve en image :
https://drive.google.com/file/d/0B7_...ew?usp=sharing

[grunk]

Vous l'croyez ça ?

Oui ...
c'est tout à fait normal c'est une requête preflight que le navigateur envoi avant la "vraie" requête.

Et comme avec curl le serveur te refuse l'accès (403) pour des raisons que tu ne maîtrise probablement pas .

[philoo91]

'Soir,

J'vais p'tête poser une question ballotte.
Mais lors de ma requête $a.ajax depuis ma page web vers une url qui n'a rien à voir avec celle de mon serveur
(exécution de la requête ajax par un clic sur un bouton de la page) que viens faire mon serveur ici ?
certes il m'a crée la page mais c'est du passé.

Ou bien j'dis une connerie ?

[grunk]

Quand je parle de serveur , je parle du serveur que tu essai d’interroger pas le tiens.

Il est évident que dans une requête ajax ton serveur n'intervient que pour te délivrer ta page et pas dans la communication après.

Quand tu obtiens une erreur 403 que ce soit avec CURL ou une requête javascript c'est que tu es bien arrivé jusqu'au serveur que tu cherches à joindre , mais qu'il refuse de te répondre (droit, quotas de requêtes, etc ...).

[philoo91]

'jour,

C'est très agréable d'entendre cela.
Et tout ceci m'ouvre une question :

Moi avec Curl en PHP 5.2 sur un serveur apache je tente un accés à un web service monté sur un serveur appartenant à un tout autre domaine
==> résultat KO / err 60
Toujours Moi en JS/JQ avec ajax depuis une page Web fabriquée par mon serveur sur mon domaine à moi je tente la même chose qu'au dessus
==> résultat KO / ma requête ajax avec le verbe (proprio "type") fixé par mes grand soins à POST se retrouve à OPTIONS

A coté de cela j'ai rencontré l'application google INSOMNIA (prise en main 5mn chrono) qui réalise ce travail que je viens de décrire.
de la manière la plus parfaite qui soit.

D'où ma question comment qu'c'est y qu'il fait ? Moi Veux faire pareil

Il est fort ce Gogole

https://drive.google.com/file/d/0B7_...ew?usp=sharing

[grunk]

Tu lis les différents messages que j'écris ?

Moi avec Curl en PHP 5.2 sur un serveur apache je tente un accés à un web service monté sur un serveur appartenant à un tout autre domaine
==> résultat KO / err 60

Je t'ai donner 3 solutions pour palier au problème
- Mettre à jour PHP
- Mettre à jour les certificats de CURL
- Désactiver la vérification de certificats

A priori tu as réussi à contacter le serveur puisque tu recois une erreur 403 , qui veux dire que ce n'est plus un problème de certificats mais de refus d'accès par le serveur distant.

Toujours Moi en JS/JQ avec ajax depuis une page Web fabriquée par mon serveur sur mon domaine à moi je tente la même chose qu'au dessus
==> résultat KO / ma requête ajax avec le verbe (proprio "type") fixé par mes grand soins à POST se retrouve à OPTIONS

Encore une fois si tu avais lu ce que j'ai dit dans mes messages précédents , tu aurais compris que ce n'est pas une "transformation" miracle mais un process normal dans une connexion https. Et une fois de plus c'est le serveur qui répond un 403 et qui refuse donc de te répondre. En javascript ca peut être un probleme de CORS