Как использовать php-curl вместе с сертификатами НУЦ Минцифры?

Question

[Алексей Царапкин]

Приветствую, коллеги!
Помогите решить задачку. Есть сайт на хостинге jino. На нем подключен сберовский эквайринг. Недавно сбер придумал использовать сертификаты от Минцифры (вот и вот) и перестал отвечать на запросы. Если выполнять запрос в браузере, предварительно установив в него сертификаты с госуслуг, то на такие запросы сбер отвечает. Вопрос. Что нужно сделать на сервере, чтобы посылать запросы с использованием отечественных сертификатов. Раньше это было так.

public function request() {
        if ($this->test_mode == "TRUE") {
            $url = 'https://3dsec.sberbank.ru/payment/rest/'.$this->method;
       } else {
            $url = 'https://securepayments.sberbank.ru/payment/rest/'.$this->method;
        }

        if( $curl = curl_init() ) {
            curl_setopt($curl, CURLOPT_URL, $url . "?" . http_build_query($this->fields, '', '&'));
            curl_setopt($curl, CURLINFO_HEADER_OUT, true);
            curl_setopt($curl, CURLOPT_RETURNTRANSFER,true);

            $responce = curl_exec($curl); 
            $headerSent = curl_getinfo($curl, CURLINFO_HEADER_OUT ); 
            curl_close($curl);
            if (!$responce) {
                return json_decode(json_encode([
                    "errorCode" => 500,
                    "errorMessage" => "Не удается установить связь с платежным шлюзом"
                ]));
            }
            return json_decode($responce);
        } else {
            return false;
        }

    }

Добавлял опции

curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($curl, CURLOPT_SSLCERT, $this->DOCUMENT_ROOT . "/sberbank/Cert_CA.pem");

Результата нет. Cert_CA.pem - скачан со странички сбера.

Пробовал конвертировать в pem те что с госуслуг и подставлять их - результата нет.

Может кто-то уже сделал переход на эти сертификаты и подскажет хотя бы нужное направление?

Comments

[rPman]

добавь опцию CURLOPT_VERBOSE => true
и после выполнения что показывает curl_getinfo

можно сначала, для удобства, добиться выполнения запроса консольным curl а потом уже ковыряться с кодом

[Алексей Царапкин]

rPman,

добавь опцию CURLOPT_VERBOSE => true
и после выполнения что показывает curl_getinfo

bool(false).

[rPman]

я так понимаю ты лог ошибок не удосужился проверить?

[Алексей Царапкин]

rPman, А ну если без параметров, то больше.

array(26) {
  ["url"]=>
  string(698) "https://3dsec.sberbank.ru/payment/rest/register.do?orderNumber=83&token=***" // обрезал параметры.
  ["content_type"]=>
  NULL
  ["http_code"]=>
  int(0)
  ["header_size"]=>
  int(0)
  ["request_size"]=>
  int(0)
  ["filetime"]=>
  int(-1)
  ["ssl_verify_result"]=>
  int(1)
  ["redirect_count"]=>
  int(0)
  ["total_time"]=>
  float(0.018626)
  ["namelookup_time"]=>
  float(0.000817)
  ["connect_time"]=>
  float(0.017958)
  ["pretransfer_time"]=>
  float(0)
  ["size_upload"]=>
  float(0)
  ["size_download"]=>
  float(0)
  ["speed_download"]=>
  float(0)
  ["speed_upload"]=>
  float(0)
  ["download_content_length"]=>
  float(-1)
  ["upload_content_length"]=>
  float(-1)
  ["starttransfer_time"]=>
  float(0)
  ["redirect_time"]=>
  float(0)
  ["redirect_url"]=>
  string(0) ""
  ["primary_ip"]=>
  string(13) "62.76.205.110"
  ["certinfo"]=>
  array(0) {
  }
  ["primary_port"]=>
  int(443)
  ["local_ip"]=>
  string(14) "195.161.41.131"
  ["local_port"]=>
  int(53132)
}

[Алексей Царапкин]

rPman, в логе ничего

[rPman]

добавь опцию CURLOPT_VERBOSE => true

это выдаст в errorlog кучу отладочной информации curl

[AUser0]

Так ведь опцией CURLOPT_SSL_VERIFYHOST=0 вы отключили проверку сертификата. И с выводе curl_getinfo() пустое 'certinfo' тоже о чём-то говорит.

И вообще, можно же начать с запросов к простейшему https://sberbank.ru/.

[alvasdem]

опция CURLOPT_CAPATH помогла

CURLOPT_CAPATH => $_SERVER["DOCUMENT_ROOT"] ."/components/sber/Cert_CA.pem",

Answer 1

[Александр Каторгин]

Судя по описанию Сбера, добавлять сертификат НУЦ Минцифры нужно только если вы используете собственную платежную страницу.
Если же используется ПС Сбера, то для сайта никаких доработок проделывать не нужно. Кроме как "Учесть ограничения по альтернативным доменам ПС".
Частично это подтверждается тем, что в предоставленных ими архивах для разных CMS - нет никакх доработок, которые касаются добавления сертификатов в CURL-запросах (посмотрел самые популярные).
Дополнительно ещё задал вопрос поддержке, но не факт, что ответ поступит быстро.

Comments

[Алексей Царапкин]

Так и есть. Нужно просто добавить серт в доверенные. Мы не правильно поняли инструкции сбера.

Answer 2

[Владимир Коротенко]

посмотрите
https://qna.habr.com/q/1020098

Answer 3

[idneutrino24]

В моем случае (linux centos-7) проблему решило кроме установки pem-сертификата
еще и добавление нового файла /etc/php.d/z_bx_custom.ini со ссылкой на сертификат:
openssl.cafile=/etc/pki/ca-trust/source/anchors/Cert_CA.pem

Далее:
service httpd restart

И curl увидел сертификаты:

protected function RequestToBank($method, $data, $url)
{
$dataEncoded = http_build_query($data);
if(strlen($url) < 1)
return false;

$curl = curl_init();
curl_setopt_array($curl, array(
CURLOPT_URL => $url.$method,
CURLOPT_RETURNTRANSFER => true,
CURLOPT_POST => true,
CURLOPT_POSTFIELDS => $dataEncoded,
CURLOPT_HTTPHEADER => array('CMS: Bitrix'),
CURLOPT_SSLVERSION => 6
));

$response = curl_exec($curl);
curl_close($curl);

return json_decode($response, true);
}

Answer 4

[Dremkin]

В Ubuntu сделал так:
1. Скачиваем https://securepayments.sberbank.ru/wiki/lib/exe/fe...
2. Из файла Cert_CA.pem вручную в текстовом редакторе делаем отдельные файлы crt на каждый сертификат. Всего получается 11 файлов
3. Кидаем их в папку: /usr/local/share/ca-certificates/
4. Запускаем: sudo update-ca-certificates
5. Curl открывает все сбербанковские ссылки в экваринг API