证书验证失败: 无法获得本地颁发者证书

我正在尝试使用 python 从网上获取数据。我为它导入了 urllib.request 包,但在执行时,出现了错误:

certificate verify failed: unable to get local issuer certificate (_ssl.c:1045)

当我改变网址为’http’-我能够得到数据。但是,我相信,这可以避免检查 SSL 证书。

所以我上网查了一下,找到了一个解决办法: 运行 /Applications/Python\ 3.7/Install\ Certificates.command

这解决了我的问题。但我对 SSL 之类的东西一无所知。你能帮我理解它到底解决了我的问题吗。

如果可能的话,请向我推荐任何好的资源来学习安全性和证书。

谢谢!

注意: 我确实浏览了链接 -Openssl,python 请求错误: “证书验证失败”

我的问题不同于链接中的问题,因为我想知道当我安装 certifi软件包或运行 Install\ Certificates.command来修复错误时实际发生了什么。我对证券一窍不通。

320393 次浏览
小开

我在 OSX 上遇到了同样的问题,而我的代码在 Linux 上完全没问题,你在你的问题中给出了答案!

在检查了指向 /Applications/Python 3.7/Install Certificates.command的文件之后,发现这个命令用通过 certifi包提供的根证书替换了默认 Python 安装的根证书。

certifi是一组根证书。每个 SSL 证书都依赖于一个信任链: 您信任一个特定的证书,因为您信任该证书的父级,您信任该父级,等等。在某种程度上,没有“父”证书,而是“根”证书。对于这些人来说,除了捆绑普遍受信任的根证书(通常是大型信任公司,如“ DigiCert”) ,没有其他解决方案。

例如,您可以在浏览器的安全设置中看到根证书(例如,Firefox-> Preferences-> Privacy and security-> view securities-> Authority)。

回到最初的问题,在运行 .command文件之前,执行这个命令会在一个干净的安装中返回一个空列表:

import os
import ssl
openssl_dir, openssl_cafile = os.path.split(
ssl.get_default_verify_paths().openssl_cafile)
# no content in this folder
os.listdir(openssl_dir)
# non existent file
print(os.path.exists(os.path.join(openssl_dir, openssl_cafile)))

这意味着在 OSX 上安装 Python 没有默认的证书颁发机构。可能的缺省值正是 certifi包提供的缺省值。

之后,您只需创建一个 SSL 上下文,其默认值如下所示(certifi.where()提供了证书颁发机构的位置) :

import platform
# ...


ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS)
ssl_context.verify_mode = ssl.CERT_REQUIRED
ssl_context.check_hostname = True
ssl_context.load_default_certs()


if platform.system().lower() == 'darwin':
import certifi
ssl_context.load_verify_locations(
cafile=os.path.relpath(certifi.where()),
capath=None,
cadata=None)

然后像下面这样向 python 发出 url请求:

import urllib
# previous context
https_handler = urllib.request.HTTPSHandler(context=ssl_context)


opener = urllib.request.build_opener(https_handler)
ret = opener.open(url, timeout=2)
小开

我在 linux 上使用 conda 时出错了,我的解决方案很简单。

conda install -c conda-forge certifi

我不得不使用 Conda 锻造厂,因为缺省证书似乎有问题。

小开

对于那些仍然想知道如何解决这个问题的人,我通过安装“ Install Certificates.command

我是这么做的,

Install Certificates.commad location

只要双击该文件等待安装,在我的情况下,您将准备好去

小开

这在所有的操作系统中都适用:

import ssl
import certifi
from urllib.request import urlopen


request = "https://example.com"
urlopen(request, context=ssl.create_default_context(cafile=certifi.where()))
小开

我想提供一个参考。我使用 cmd + space,然后键入 Install Certificates.command,然后按 Enter。过了一会儿,命令行界面弹出,开始安装。

 -- removing any existing file or link
-- creating symlink to certifi certificate bundle
-- setting permissions
-- update complete

最后,它修复了错误。

小开

这个页面是谷歌点击“证书验证失败: 无法获得本地颁发证书”,所以虽然这不直接回答原来的问题,下面是一个问题的修复与相同的症状。我在试图将 TLS 添加到 xmlrpc 服务时遇到了这个问题。这需要使用相当低级的 ssl.SSLContext类。错误指示缺少证书。解决办法是在构造 SSLContext对象时做几件事:

首先,在客户端:

def get_client():
context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
# Load the default certs:
context.load_default_certs()


# Optionally, install the intermediate certs.
# This _should_ be handled by the server, but
# maybe helpful in some cases.
# context.load_verify_locations('path/to/ca_bundle.crt')
return xmlrpc.client.ServerProxy('https://server.yourdomain.com/', context=context)

在服务器中,您需要在上下文中安装中间证书:

class SecureXMLRPCServer(socketserver.TCPServer,
xmlrpc.server.SimpleXMLRPCDispatcher):
# https://gist.github.com/monstermunchkin/1100226
allow_reuse_address = True


def __init__(self, addr, certfile, keyfile=None,
ca_bundle=None,
requestHandler=xmlrpc.server.SimpleXMLRPCRequestHandler,
logRequests=True, allow_none=False, encoding=None,
bind_and_activate=True, ssl_version=ssl.PROTOCOL_TLSv1_2):
self.logRequests = logRequests


# create an SSL context
self.context = ssl.SSLContext(ssl_version)
self.context.load_default_certs()


# The server is the correct place to load the intermediate CA certificates:
self.context.load_verify_locations(ca_bundle)
self.context.load_cert_chain(certfile=certfile, keyfile=keyfile)


xmlrpc.server.SimpleXMLRPCDispatcher.__init__(self, allow_none,
encoding)
# call TCPServer constructor
socketserver.TCPServer.__init__(self, addr, requestHandler,
bind_and_activate)


if fcntl is not None and hasattr(fcntl, 'FD_CLOEXEC'):
flags = fcntl.fcntl(self.fileno(), fcntl.F_GETFD)
flags |= fcntl.FD_CLOEXEC
fcntl.fcntl(self.fileno(), fcntl.F_SETFD, flags)


def get_request(self):
newsocket, fromaddr = self.socket.accept()
# create an server-side SSL socket
sslsocket = self.context.wrap_socket(newsocket, server_side=True)
return sslsocket, fromaddr
小开

我最近在连接 MongoDB Atlas 时遇到了这个问题。我更新到最新的 certifi python 包,它现在可以工作了。

(python 3.8,升级到证书2020.4.5.1,以前的证书版本2019.11.28)

小开

< 强 > 对于那些问题持续存在的人:- Python 3.6(还有其他版本吗?)MacOS 上有自己的私有 OpenSSL 副本。这意味着 Python ssl 模块不再使用系统中的信任证书作为默认值。为了解决这个问题,您需要在系统中安装一个 证书包。译注:

你可以试着用两种方法来做:

1)经 PIP:

pip install --upgrade certifi

2)如果它不起作用,尝试运行一个 Cerificates.command,它是与 Python 3.6捆绑在一起的,用于 Mac:

open /Applications/Python\ 3.6/Install\ Certificates.command

无论如何,您现在应该已经安装了证书,并且 Python 应该能够通过 HTTPS 进行连接,没有任何问题。

希望这个有帮助。

小开

在开始粘贴以下代码:

# paste this at the start of code
import ssl


try:
_create_unverified_https_context = ssl._create_unverified_context
except AttributeError:
pass
else:
ssl._create_default_https_context = _create_unverified_https_context
小开

对我来说,问题是我在 .bash_profile中设置了 REQUESTS_CA_BUNDLE

/Users/westonagreene/.bash_profile:
...
export REQUESTS_CA_BUNDLE=/usr/local/etc/openssl/cert.pem
...

REQUESTS_CA_BUNDLE设置为空白(即从. bash _ profile 中删除)后,requests再次工作。

export REQUESTS_CA_BUNDLE=""

这个问题只有在通过 CLI (命令行接口)执行 pythonrequests时才会出现。如果我运行 requests.get(URL, CERT),它解决得很好。

< p > Mac OS Catalina (10.15.6). Pyenv 3.6.11. 我收到的错误消息: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)

其他地方的答案是: https://stackoverflow.com/a/64152045/4420657

小开

在我的例子中出现这个错误的原因是 OPENSSLDIR 被设置为一个不包含实际证书的路径,这可能是由于某些升级/重新安装造成的。

若要验证这一点,请尝试运行以下命令:

openssl s_client -CApath /etc/ssl/certs/ -connect some-domain.com:443

如果删除 -CApath /etc/ssl/certs/并得到 20错误代码,那么这就是可能的原因。您还可以通过运行 openssl version -a检查 OPENSSLDIR 的设置。

由于改变 OPENSSLDIR 需要重新编译,我发现最简单的解决方案就是在现有路径中创建一个符号链接: ln -s /etc/ssl/certs your-openssldir/certs

小开

Certifi提供 Mozilla 精心策划的根证书集合,用于验证 SSL 证书的可信度,同时验证 TLS 主机的身份。它是从 请求项目中提取出来的。

pip install certifi

或者运行下面的程序代码:

# install_certifi.py
#
# sample script to install or update a set of default Root Certificates
# for the ssl module.  Uses the certificates provided by the certifi package:
#       https://pypi.python.org/pypi/certifi


import os
import os.path
import ssl
import stat
import subprocess
import sys


STAT_0o775 = ( stat.S_IRUSR | stat.S_IWUSR | stat.S_IXUSR
| stat.S_IRGRP | stat.S_IWGRP | stat.S_IXGRP
| stat.S_IROTH |                stat.S_IXOTH )




def main():
openssl_dir, openssl_cafile = os.path.split(
ssl.get_default_verify_paths().openssl_cafile)


print(" -- pip install --upgrade certifi")
subprocess.check_call([sys.executable,
"-E", "-s", "-m", "pip", "install", "--upgrade", "certifi"])


import certifi


# change working directory to the default SSL directory
os.chdir(openssl_dir)
relpath_to_certifi_cafile = os.path.relpath(certifi.where())
print(" -- removing any existing file or link")
try:
os.remove(openssl_cafile)
except FileNotFoundError:
pass
print(" -- creating symlink to certifi certificate bundle")
os.symlink(relpath_to_certifi_cafile, openssl_cafile)
print(" -- setting permissions")
os.chmod(openssl_cafile, STAT_0o775)
print(" -- update complete")


if __name__ == '__main__':
main()

Brew 还没有运行用于 Mac 的 Python3包中的 Install 證 icates.command。

小开

创建一个从 OS 证书到 Python 的符号链接对我很有用:

ln -s /etc/ssl/* /Library/Frameworks/Python.framework/Versions/3.9/etc/openssl

(我使用的是 macOS,使用的是 pyenv)

小开

注意: 我对证书不是很了解,但我认为这值得早点检查。

在花费任何时间重新配置代码/包/系统之前,请确保您试图从中下载的服务器没有问题。

我认为这个错误可能会产生误导,因为“无法获得本地发行者证书”使得它看起来像是您的本地机器出了问题,但实际情况可能并非如此。

尝试将您试图加载的页面更改为可能比较好的内容,如 https://www.google.com,然后查看问题是否仍然存在。另外,通过 https://www.digicert.com/help/的搜索工具检查给你带来问题的域。

在我的案例中,DigiCert 的工具告诉我: “证书没有由受信任的权威机构签名(检查 Mozilla 的根存储)。”这就解释了为什么我似乎已经安装了根证书,但仍然存在错误。当我测试使用 HTTPS 加载不同的站点时,我没有遇到任何问题。

如果这种情况适用于您,那么我认为您可能有3个逻辑选项(按优先顺序) : 1)修复服务器,如果它在您的控制之下,2)禁用证书检查,同时继续使用 HTTPS,3)跳过 HTTPS,转到 HTTP。

小开

由于这个问题没有标签[ macos ] ,我在 ubuntu 下发布了一个解决同样问题的方案:

sudo apt install ca-certificates
sudo update-ca-certificates --fresh
export SSL_CERT_DIR=/etc/ssl/certs

解决方案来自 Github 上的 Zomatree

小开

我在 Windows 上体验过这种情况,在与之斗争之后,我为网页下载了 SSL 证书链

在 Chrome 上的步骤-(左上角的挂锁-> 点击“连接是安全的”-> 点击“证书是有效的”) 若要查看证书链,请选择“证书”路径。 要下载每个证书,在“证书路径”选项卡中查看证书,打开“详细信息”选项卡,然后复制到文件

下载之后,打开保存证书的位置,然后编译成一个.PEM 文件

以此为例:

    openssl x509 -in inputfilename.cer -inform DER -outform PEM  >> .pem

这个顺序很重要,从链中最低的证书开始,否则捆绑包将无效

终于来了

    response = requests.get('enter/urll/here', verify ='/path/to/created bundle')
小开

对我来说,所有建议的解决方案都不起作用。然而,我是在我公司的 PC 上的终端上运行代码的,这个终端上安装了一个名为 ZScaler 的 IT 安全软件包。关闭 ZScaler 软件解决了我所有的问题。

小开

环境: Mac,Python 3.10,iTerm,

    < li > 在 Finder 中搜索: Install Qualicates.command < br > enter image description here < li > 获取资讯 enter image description here < li > Open with: iTerm.app < br > enter image description here
  1. 双击“安装证书”命令

等待安装证书。解决它。

小开

突然,我开始在我的窗口环境中面对这个问题。更糟糕的是,它在我运行 pip 时也出现了,所以问题不在于远程服务器证书。

在尝试了许多不同的方法之后,我找到了将多个答案的片段结合起来的解决方案:

  • 添加可信主机到 pip.ini: pip 配置集 global.trust-host“ pypi.org files.pythonhosted.org pypi.python.org”(不仅仅作为 pip install 参数传递)

  • 更新系统证书: pip 安装 pip-system-certs (安装 python-certificate-win32无效)

现在 https 请求又可以工作了


提交答案