php + curl + ssl + tomcat

Question

[Sargass]

Доброго дня.
Никак не могу решить проблему с ответом по https phpшным скриптом через curl.
Изначально предполагалось, что обмен будет происходить по 80ке, просто http запросами, что и было отлажено на тестовой машине.
На боевой, оказалось, что исполняемый скрипт, посылающий мне запросы, подгружается немного дальше, чем я думал, и запросы мне приходят по https, от tomcat`а (вроде апача с ява-интерпритатором, насколько я понимаю).
Собственно сама проблема в том, что все проверки сертификатов, и прочая, отключены, но ответить я никак не могу.
Первая ошибка, с которой столкнулся — curl error 35: unknown SSL protocol error in connection.
После этого выставил curl setopt, отключив проверку сертификатов хоста и юзера, стал получать handshake failure.
Перепробовал вручную указывать версию ssl, попробовал отключать лишние в httpd/ssl.conf, абсолютно ничего не помогает.

Это мой, практически первый опыт работы с curl, и тут сразу такие штуки.
Есть какие-то особенности в процессе соединения обычного php курлом с томкэтом по ssl, видимо?

Comments

[Макс]

А какая у вас версия openssl?

[Sargass]

openssl 0.9.8b

[Sargass]

Нашёл вот такую вот вещь — venkateshragi.blogspot.ru/2013/04/two-way-ssl-using-curl.html

[Sargass]

Препутал насчёт первой ошибки.

ERROR SND REQUEST. ERR = 60 TO: https://11.22.33.44:10443/xxx/xxx/basichttp.php DESC: SSL certificate problem, verify that the CA cert is OK DETAILS: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Собственно после этого выставил

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);

И стал ловить
Error snd request. ERR=35 TO: https://11.22.33.44:10443/xxx/xxx/basichttp.php DESC: error 14094410:SSL routines:SSL3_READ_BYTES:sslv3 handshake failure

Answer 1

[Дмитрий]

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);

Comments

[Sargass]

После этого выставил curl setopt, отключив проверку сертификатов хоста и юзера

Это и имел ввиду. Оба в нуле.

[Дмитрий]

можете в личку бросить url которые получаете
а если еще принудительно
curl_setopt($ch, CURLOPT_SSLVERSION, 3);

[Sargass]

Версию тоже пробовал указывать принудительно.
url сейчас не смогу кинуть, не рядом с машиной, где работал. В самом адресе смысла нет — там закрытая сеть, приходят запросы с адреса вида
https://10.20.30.40:10443/

[shushu]

А из браузера/GET на этот адресс — нормально работает?
+ попробуйте:

curl_setopt($ch, CURLOPT_VERBOSE, TRUE);
curl_setopt($ch, CURLOPT_STDERR, '/path/to/debug/file');

[Sargass]

Консолью пробовал, да, get что-то отдаёт вменяемое.
Хорошо, попробую.

[Sargass]

Выставил, ничего не изменилось.
Заодно отвечу на вопрос выше — лог.

Error snd request. ERR=35 TO: https://11.22.33.44:10443/xxx/xxx/basichttp.php DESC: error 14094410:SSL routines:SSL3_READ_BYTES:sslv3 handshake failure

sslversion выставил на 1, как посоветовали ниже — ноль реакции.

Answer 2

[Макс]

Раз все что написали выше не помогло, есть еще варианты.
1. Раз не помогло curl_setopt($ch, CURLOPT_SSLVERSION, 3); попробуйте заменить на curl_setopt($ch, CURLOPT_SSLVERSION, 1);
2. Не помню из-за чего, но когда-то я ооооочень долго ловил какую-то ошибку, поводом для которой оказалось что библиотеки OpenSSL для апача и php были для разных версий — как только я привел их к одной версии все стало ок
3. Откатите OpenSSL к более старой версии — это тоже помогает в некоторых случаях