【问题标题】：cURL queries work, but python-request failscURL 查询有效，但 python-request 失败
【发布时间】：2019-06-29 05:22:22
【问题描述】：

总结

我们在我们的环境中使用自定义 CA。我已通过下载 Base64 证书并使用 update-ca-certificates 更新信任库将 CA 证书导入信任库。

我能够对我的 REST API 运行 cURL 查询，但是在运行时请求库失败并出现 SSL 错误。

我尝试过的

我尝试指定库的根 ca 证书文件路径，但得到了同样的错误。如何解决此问题？将 verify 设置为 false 不是一种选择。

代码运行

作品

curl -X GET https://api.me.com/admin/ -H '授权：令牌 4ae5'

不起作用

requests.get('https://api.me.com/admin/', headers={'Authorization': 'Token 4ae5'}, verify='/etc/ssl/certs/root.pem')

Traceback (most recent call last):
  File "/usr/local/lib/python3.5/dist-packages/urllib3/connectionpool.py", line 600, in urlopen
    chunked=chunked)
  File "/usr/local/lib/python3.5/dist-packages/urllib3/connectionpool.py", line 345, in _make_request
    self._validate_conn(conn)
  File "/usr/local/lib/python3.5/dist-packages/urllib3/connectionpool.py", line 844, in _validate_conn
    conn.connect()
  File "/usr/local/lib/python3.5/dist-packages/urllib3/connection.py", line 326, in connect
    ssl_context=context)
  File "/usr/local/lib/python3.5/dist-packages/urllib3/util/ssl_.py", line 325, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "/usr/lib/python3.5/ssl.py", line 377, in wrap_socket
    _context=self)
  File "/usr/lib/python3.5/ssl.py", line 752, in __init__
    self.do_handshake()
  File "/usr/lib/python3.5/ssl.py", line 988, in do_handshake
    self._sslobj.do_handshake()
  File "/usr/lib/python3.5/ssl.py", line 633, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:645)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/requests/adapters.py", line 376, in send
    timeout=timeout
  File "/usr/local/lib/python3.5/dist-packages/urllib3/connectionpool.py", line 630, in urlopen
    raise SSLError(e)
requests.packages.urllib3.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:645)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/python3/dist-packages/requests/api.py", line 67, in get
    return request('get', url, params=params, **kwargs)
  File "/usr/lib/python3/dist-packages/requests/api.py", line 53, in request
    return session.request(method=method, url=url, **kwargs)
  File "/usr/lib/python3/dist-packages/requests/sessions.py", line 480, in request
    resp = self.send(prep, **send_kwargs)
  File "/usr/lib/python3/dist-packages/requests/sessions.py", line 588, in send
    r = adapter.send(request, **kwargs)
  File "/usr/lib/python3/dist-packages/requests/adapters.py", line 447, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:645)

【问题讨论】：

requests.get(..., verify='/etc/ssl/certs/root.pem') - 你确定你使用的是正确的路径吗？鉴于您对使用 update-ca-certificates 的描述，我猜您使用的是 Debian 或类似的（即 Ubuntu）。在这种情况下，相关路径应该是/etc/ssl/certs/ca-certificates.crt。
天哪，这太尴尬了。你是绝对正确的，我不得不使用捆绑的证书。我一直在尝试我在 /etc/ca-certificates.conf 中指定的绝对路径并不断出错！ :D 请把它作为答案发布，我会接受的。

标签： python ssl openssl python-requests

【解决方案1】：

... requests.get(..., verify='/etc/ssl/certs/root.pem')

鉴于您对使用 update-ca-certificates 的描述，您似乎使用的是 Debian 或类似产品（即 Ubuntu）。在这种情况下，相关路径应该是/etc/ssl/certs/ca-certificates.crt。

【讨论】：

【解决方案2】：

原因是 Python Requests 使用来自 python-certifi package. 的证书，而不是底层操作系统的证书。

certifi 包含来自 Mozilla 的所有 CA 证书，添加缺失的证书也相对简单。

有关向certifi添加证书的详细信息，请参阅此帖子：https://stackoverflow.com/a/66111417/516699

好处是您无需调整底层系统的 SSL，只需调整您正在工作的 Python 环境的 SSL。

【讨论】：