我在OSX上遇到了同样的问题，而我的代码在Linux上完全没问题，你在你的问题中给出了答案!

在检查您指向/Applications/Python 3.7/Install certificates .command的文件后，发现该命令将默认Python安装的根证书替换为通过certifi包提供的根证书。

Certifi是根证书的集合。每个SSL证书都依赖于一个信任链:您信任一个特定的证书，因为您信任该证书的父证书，因此您信任该证书的父证书，等等。在某些情况下，没有“父”证书，这些是“根”证书。对于这些问题，除了捆绑普遍信任的根证书(通常是大型信托公司，如eg。“DigiCert”)。

例如，您可以在浏览器安全设置中看到根证书(例如Firefox->首选项->隐私和安全->视图证书->权威)。

回到最初的问题，在运行.command文件之前，在干净的安装上执行这个命令会返回一个空列表:

import os
import ssl                                        
openssl_dir, openssl_cafile = os.path.split(      
    ssl.get_default_verify_paths().openssl_cafile)
# no content in this folder
os.listdir(openssl_dir)
# non existent file
print(os.path.exists(os.path.join(openssl_dir, openssl_cafile)))

这意味着OSX上的Python安装没有默认的证书颁发机构。可能的默认值正是证书包提供的。

在此之后，您只需创建一个具有正确默认值的SSL上下文，如下所示(certificate .where()给出了证书颁发机构的位置):

import platform
# ...

ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS)
ssl_context.verify_mode = ssl.CERT_REQUIRED
ssl_context.check_hostname = True
ssl_context.load_default_certs()

if platform.system().lower() == 'darwin':
    import certifi
    ssl_context.load_verify_locations(
        cafile=os.path.relpath(certifi.where()),
        capath=None,
        cadata=None)

然后像这样从python请求一个url:

import urllib
# previous context
https_handler = urllib.request.HTTPSHandler(context=ssl_context)

opener = urllib.request.build_opener(https_handler)
ret = opener.open(url, timeout=2)

我在linux上有conda错误。我的解决办法很简单。

conda install -c conda-forge certifi

我不得不使用conda锻造，因为默认证书似乎有问题。

对于那些仍然想知道如何解决这个问题的人，我通过安装“Install Certificates.command”得到了我的答案。

我是这样做的，

只需双击该文件，等待它安装，在我的情况下，你就准备好了

这适用于所有的操作系统:

import ssl
import certifi
from urllib.request import urlopen

request = "https://example.com"
urlopen(request, context=ssl.create_default_context(cafile=certifi.where()))

我愿意提供一份参考资料。我使用cmd +空格，然后键入Install Certificates.command，然后按Enter。过了一会儿，弹出命令行界面开始安装。

 -- removing any existing file or link
 -- creating symlink to certifi certificate bundle
 -- setting permissions
 -- update complete

最后，它修复了错误。

此页是谷歌中“证书验证失败:无法获得本地颁发者证书”的最高点击率，因此，虽然这没有直接回答最初的问题，但下面是对具有相同症状的问题的修复。我在尝试将TLS添加到xmlrpc服务时遇到了这个问题。这需要使用相当低级的ssl。SSLContext类。该错误表示缺少证书。修复方法是在构造SSLContext对象时做几件事:

首先，在客户端:

def get_client():
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    # Load the default certs:
    context.load_default_certs()

    # Optionally, install the intermediate certs.
    # This _should_ be handled by the server, but
    # maybe helpful in some cases.
    # context.load_verify_locations('path/to/ca_bundle.crt')
    return xmlrpc.client.ServerProxy('https://server.yourdomain.com/', context=context)

在服务器端，你需要在上下文中安装中间的certs:

class SecureXMLRPCServer(socketserver.TCPServer, 
        xmlrpc.server.SimpleXMLRPCDispatcher):
    # https://gist.github.com/monstermunchkin/1100226
    allow_reuse_address = True

    def __init__(self, addr, certfile, keyfile=None,
            ca_bundle=None,
            requestHandler=xmlrpc.server.SimpleXMLRPCRequestHandler,
            logRequests=True, allow_none=False, encoding=None, 
            bind_and_activate=True, ssl_version=ssl.PROTOCOL_TLSv1_2):
        self.logRequests = logRequests

        # create an SSL context
        self.context = ssl.SSLContext(ssl_version)
        self.context.load_default_certs()

        # The server is the correct place to load the intermediate CA certificates:
        self.context.load_verify_locations(ca_bundle)
        self.context.load_cert_chain(certfile=certfile, keyfile=keyfile)

        xmlrpc.server.SimpleXMLRPCDispatcher.__init__(self, allow_none, 
                encoding)
        # call TCPServer constructor
        socketserver.TCPServer.__init__(self, addr, requestHandler, 
                bind_and_activate)

        if fcntl is not None and hasattr(fcntl, 'FD_CLOEXEC'):
            flags = fcntl.fcntl(self.fileno(), fcntl.F_GETFD)
            flags |= fcntl.FD_CLOEXEC
            fcntl.fcntl(self.fileno(), fcntl.F_SETFD, flags)

    def get_request(self):
        newsocket, fromaddr = self.socket.accept()
        # create an server-side SSL socket
        sslsocket = self.context.wrap_socket(newsocket, server_side=True)
        return sslsocket, fromaddr

我最近在连接MongoDB Atlas时遇到了这个问题。我更新到最新的certifi python包，现在可以工作了。

(python 3.8，升级到certifi 2020.4.5.1，之前的certifi版本2019.11.28)

对于那些这个问题仍然存在的人:- MacOS上的Python 3.6(还有其他版本吗?)附带了自己的私有OpenSSL副本。这意味着系统中的信任证书不再被Python ssl模块用作默认值。要解决这个问题，您需要在系统中安装一个证书包。

你可以尝试两种方法:

1)通过PIP:

pip install --upgrade certifi

2)如果它不起作用，尝试运行Python 3.6 for Mac附带的certificates .command:

open /Applications/Python\ 3.6/Install\ Certificates.command

无论如何，您现在应该已经安装了证书，并且Python应该能够通过HTTPS进行连接而不会出现任何问题。

希望这对你有所帮助。

在开始时粘贴以下代码:

# paste this at the start of code
import ssl 

try:
    _create_unverified_https_context = ssl._create_unverified_context
except AttributeError:
    pass
else:
    ssl._create_default_https_context = _create_unverified_https_context

对我来说，问题是我在我的.bash_profile中设置了REQUESTS_CA_BUNDLE

/Users/westonagreene/.bash_profile:
...
export REQUESTS_CA_BUNDLE=/usr/local/etc/openssl/cert.pem
...

一旦我将REQUESTS_CA_BUNDLE设置为空白(即从.bash_profile中删除)，请求就会再次工作。

export REQUESTS_CA_BUNDLE=""

该问题仅在通过CLI(命令行接口)执行python请求时出现。如果我运行请求。get(URL, CERT)它解决得很好。

Mac OS Catalina(10.15.6)。 3.6.11的Pyenv。 我正在获得的错误消息:[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获得本地颁发者证书(_ssl.c:1056)

这个答案在其他地方:https://stackoverflow.com/a/64152045/4420657

在我的例子中，这个错误的原因是OPENSSLDIR被设置为一个不包含实际证书的路径，可能是由于一些升级/重新安装造成的。

要验证这一点，如果这可能是你的情况，试着运行:

openssl s_client -CApath /etc/ssl/certs/ -connect some-domain.com:443

如果您删除了-CApath /etc/ssl/certs/并得到一个20的错误代码，那么这可能是原因。您也可以通过执行openssl version -a命令查看OPENSSLDIR设置为什么。

由于修改OPENSSLDIR需要重新编译，我发现最简单的解决方案就是在现有路径中创建一个符号链接:ln -s /etc/ssl/certs your-openssldir/certs

Certifi提供了Mozilla精心策划的根证书集合，用于验证SSL证书的可信度，同时验证TLS主机的身份。它已经从Requests项目中提取出来。

pip install certifi

或者运行下面的程序代码:

# install_certifi.py
#
# sample script to install or update a set of default Root Certificates
# for the ssl module.  Uses the certificates provided by the certifi package:
#       https://pypi.python.org/pypi/certifi

import os
import os.path
import ssl
import stat
import subprocess
import sys

STAT_0o775 = ( stat.S_IRUSR | stat.S_IWUSR | stat.S_IXUSR
             | stat.S_IRGRP | stat.S_IWGRP | stat.S_IXGRP
             | stat.S_IROTH |                stat.S_IXOTH )


def main():
    openssl_dir, openssl_cafile = os.path.split(
        ssl.get_default_verify_paths().openssl_cafile)

    print(" -- pip install --upgrade certifi")
    subprocess.check_call([sys.executable,
        "-E", "-s", "-m", "pip", "install", "--upgrade", "certifi"])

    import certifi

    # change working directory to the default SSL directory
    os.chdir(openssl_dir)
    relpath_to_certifi_cafile = os.path.relpath(certifi.where())
    print(" -- removing any existing file or link")
    try:
        os.remove(openssl_cafile)
    except FileNotFoundError:
        pass
    print(" -- creating symlink to certifi certificate bundle")
    os.symlink(relpath_to_certifi_cafile, openssl_cafile)
    print(" -- setting permissions")
    os.chmod(openssl_cafile, STAT_0o775)
    print(" -- update complete")

if __name__ == '__main__':
    main()

Brew没有运行Mac Python3包中的Install certificates .命令。

创建一个从操作系统证书到Python的符号链接对我来说很有效:

ln -s /etc/ssl/* /Library/Frameworks/Python.framework/Versions/3.9/etc/openssl

(我在macOS上，使用pyenv)

警告:我对证书不是很了解，但我认为这值得尽早检查。

在花时间重新配置代码/包/系统之前，请确保您试图下载的服务器没有问题。

我认为这个错误可能会产生误导，因为“无法获得本地发行者证书”看起来好像是本地机器出了问题，但事实未必如此。

尝试将您正在尝试加载的页面更改为可能不错的页面，例如https://www.google.com，然后查看问题是否仍然存在。此外，使用https://www.digicert.com/help/上的搜索工具检查出问题的域名。

在我的例子中，DigiCert的工具告诉我“证书不是由受信任的权威签署的(根据Mozilla的根存储进行检查)。”这就解释了为什么我似乎已经安装了根证书，但仍然出现错误。当我测试用HTTPS加载一个不同的网站时，我没有遇到任何问题。

如果这种情况适用于你，那么我认为你可能有3个逻辑选项(按优先级排序):1)修复服务器(如果它在你的控制之下)，2)禁用证书检查，同时继续使用HTTPS, 3)跳过HTTPS转到HTTP。

由于这个问题没有[macos]标签，我在ubuntu下发布了一个同样问题的解决方案:

sudo apt install ca-certificates
sudo update-ca-certificates --fresh
export SSL_CERT_DIR=/etc/ssl/certs

解决方案来自Github上的Zomatree。

在Windows上经历了这一点，在与此斗争之后，我下载了网页的SSL证书链

在Chrome浏览器上的步骤-(左上角的挂锁->点击“连接是安全的”->点击“证书是有效的”) 如果需要查看证书链，请选择“证书路径”。 要下载每个证书，请在“证书路径”选项卡中查看证书，打开“详细信息”选项卡，然后复制到文件中

下载后，打开保存证书的地方，然后编译成一个.PEM文件

举个例子:

    openssl x509 -in inputfilename.cer -inform DER -outform PEM  >> .pem

顺序很重要，从链中最低的证书开始，否则你的bundle将无效

最后

    response = requests.get('enter/urll/here', verify ='/path/to/created bundle')

对我来说，所有建议的解决办法都不管用。但是，我是在公司PC的终端上运行代码的，PC上安装了一个名为ZScaler的IT安全软件包。禁用ZScaler软件解决了我所有的问题。

环境:Mac, Python 3.10, iTerm，

在查找器中搜索:安装证书 得到信息 打开:iTerm.app 双击'Install Certificates.command'

等待安装证书。解决它。

突然，我开始在windows环境中遇到这个问题。更糟糕的是，当我运行pip时也出现了这个问题，所以问题不是与远程服务器证书有关。

在尝试了许多不同的方法后，我从多个答案中找到了解决方案:

在pip.ini中添加可信主机:pip config set global。“pypi.python.org”(不工作，只传递PIP安装参数) 更新系统证书:pip install pip-system-certs(在安装python- certificate -win32时无效)

现在https请求再次工作\o/

简单地运行:

PIP install——trustedhost =pypi.org——trustedhost =files.pythonhosted.org——user PIP -system-certs'

我在Ventura上用python 3.9-10遇到了这个问题，尽管我已经尝试过了:

将我的私有CA证书添加到/etc/ssl/cert.pem, /etc/ssl/certs/ 将我的私有CA证书添加到特定证书的cert.pem文件中 将我的私人CA证书添加到我的钥匙链到“系统”桶 设置REQUESTS_CA_BUNDLE = / etc / ssl / cert.pem

这使请求工作，但httpconnection和urllib3验证失败，所以它仍然有一个地方添加CA证书:

/usr/local/etc/ca-certificates / cert.pem

我相信这是因为我已经通过brew安装了openssl，这设置了上面的文件，并从/usr/local/etc/openssl@1.1/cert.pem中添加了符号链接。

因此，如果有人在通过brew安装openssl后遇到证书验证失败的情况，那么这可能就是原因所在。