如何解决使用ThinkPHP6和elasticsearch-php客户端连接Elasticsearch 8时的cURL error 77问题？

在使用 ThinkPHP6 和 elasticsearch-php 客户端 连接 Elasticsearch 8 时，出现 cURL error 77 错误，通常是由于 SSL 证书验证失败引起的。cURL error 77 通常表示 无法验证证书，尤其是在尝试通过 HTTPS 连接时，证书链或根证书没有正确配置。

目录

1. 问题原因分析
2. 解决方案
   • 2.1 禁用 SSL 证书验证
   • 2.2 配置正确的证书路径
   • 2.3 使用正确的 cURL 配置
3. 总结

1. 问题原因分析

cURL error 77 错误通常发生在以下几种情况：

• 缺少 CA 证书：cURL 需要一个有效的证书链来验证 HTTPS 连接。默认情况下，cURL 会验证 SSL 证书，缺少正确的根证书会导致此错误。
• cURL 配置问题：如果 cURL 配置不正确，或者系统缺少必要的证书文件，可能会导致此错误。
• Elasticsearch 配置问题：如果 Elasticsearch 配置为 HTTPS，并且没有正确配置证书或证书链，也可能导致连接失败。

2. 解决方案

2.1 禁用 SSL 证书验证

如果你只是进行本地开发或测试，且不担心安全问题，可以通过禁用 SSL 证书验证来解决问题。这将允许 cURL 跳过证书验证步骤。

在 elasticsearch-php 客户端 中，你可以通过设置 curl.options 来禁用 SSL 证书验证。

示例代码：

use Elasticsearch\ClientBuilder;

$client = ClientBuilder::create()
    ->setHosts(['https://your-elasticsearch-url'])
    ->setCurlOptions([CURLOPT_SSL_VERIFYPEER => false, CURLOPT_SSL_VERIFYHOST => false])
    ->build();

// 测试连接
$response = $client->info();
print_r($response);

这样，CURLOPT_SSL_VERIFYPEER 和 CURLOPT_SSL_VERIFYHOST 被设置为 false，意味着跳过 SSL 证书验证。

警告：这种方法仅适用于开发环境，不推荐在生产环境中使用。跳过证书验证可能会让系统容易受到中间人攻击。

2.2 配置正确的证书路径

如果你不希望禁用证书验证，最好的方法是配置正确的根证书路径。在这种情况下，你需要确保 cURL 能够找到正确的证书链。

步骤：

1. 下载 CA 根证书：

   你可以从 cURL 官网 下载 CA 根证书的文件，或者使用系统中已有的证书文件。例如，在 Linux 系统中，通常会安装 ca-certificates 包，或者可以使用 /etc/ssl/certs/ca-certificates.crt 作为证书链文件。

2. 设置 cURL 证书路径：

   在 elasticsearch-php 客户端 中，设置 cURL 选项来指定证书路径。

示例代码：

use Elasticsearch\ClientBuilder;

$client = ClientBuilder::create()
    ->setHosts(['https://your-elasticsearch-url'])
    ->setCurlOptions([
        CURLOPT_CAINFO => '/path/to/ca-certificates.crt' // 指定证书文件路径
    ])
    ->build();

// 测试连接
$response = $client->info();
print_r($response);

这样，你指定了 cURL 使用的 CA 证书路径，确保它能够验证 Elasticsearch 服务器的证书。

2.3 使用正确的 cURL 配置

确保你的系统中已安装 cURL 并配置了正确的 SSL 证书链。如果 cURL 没有正确配置，可能会导致无法验证 SSL 连接。

步骤：

1. 检查 cURL 配置：

   在命令行中运行以下命令，检查 cURL 的配置信息：

   curl -V
   

   确保输出中有类似于以下的内容：

   SSL support: enabled
   ...
   SSL libraries: OpenSSL
   

   如果没有正确的 SSL 支持，可能需要重新安装或更新 cURL 和 OpenSSL。

2. 安装或更新 CA 证书：

   如果你的系统缺少根证书，安装根证书：

   • Debian/Ubuntu：

     sudo apt-get install ca-certificates
     sudo update-ca-certificates
     

   • CentOS/RHEL：

     sudo yum install ca-certificates
     sudo update-ca-trust force-enable
     

3. 重新启动 Web 服务器（如果适用）。

3. 总结

• cURL error 77 错误通常是由于 SSL 证书验证失败 引起的，可能是由于缺少正确的根证书或者证书链未正确配置。
• 你可以选择 禁用 SSL 验证（不推荐用于生产环境）或者 配置正确的证书路径 来解决该问题。
• 在生产环境中，强烈建议使用 正确的证书链 和 启用证书验证 以确保安全。
• 如果 cURL 配置不正确，可以检查 cURL 版本、证书路径，或者重新安装 CA 证书。

使用正确的配置和 cURL 设置，将确保 ThinkPHP6 和 elasticsearch-php 客户端能够顺利连接到 Elasticsearch 8，并解决 cURL error 77 问题。