我试图使用python从web获取数据。我导入了urllib。请求包,但在执行时,我得到错误:

certificate verify failed: unable to get local issuer certificate (_ssl.c:1045)

我在Mac OS High Sierra上使用Python 3.7。 我试图从CSV文件: https://s3.amazonaws.com/assets.datacamp.com/production/course_1606/datasets/winequality-red.csv

当我将URL更改为“http”时-我能够获得数据。但是,我认为这避免了检查SSL证书。

所以我在网上找到了一个解决方案: 运行/Applications/Python\ 3.7/Install\ certificates .命令

这解决了我的问题。但是我没有SSL之类的知识。你能帮我理解一下它到底是怎么解决我的问题的吗?

如果可能的话,请给我推荐一些好的资源来了解安全与证书。我是新手。

谢谢!

注意:我确实通过链接openssl, python请求错误:“证书验证失败”

我的问题与链接中的问题不同,因为我想知道当我安装certifi包或运行install \ Certificates.command来修复错误时实际发生了什么。我对证券的理解很差。


当前回答

在我的例子中,这个错误的原因是OPENSSLDIR被设置为一个不包含实际证书的路径,可能是由于一些升级/重新安装造成的。

要验证这一点,如果这可能是你的情况,试着运行:

openssl s_client -CApath /etc/ssl/certs/ -connect some-domain.com:443

如果您删除了-CApath /etc/ssl/certs/并得到一个20的错误代码,那么这可能是原因。您也可以通过执行openssl version -a命令查看OPENSSLDIR设置为什么。

由于修改OPENSSLDIR需要重新编译,我发现最简单的解决方案就是在现有路径中创建一个符号链接:ln -s /etc/ssl/certs your-openssldir/certs

其他回答

我最近在连接MongoDB Atlas时遇到了这个问题。我更新到最新的certifi python包,现在可以工作了。

(python 3.8,升级到certifi 2020.4.5.1,之前的certifi版本2019.11.28)

对我来说,问题是我在我的.bash_profile中设置了REQUESTS_CA_BUNDLE

/Users/westonagreene/.bash_profile:
...
export REQUESTS_CA_BUNDLE=/usr/local/etc/openssl/cert.pem
...

一旦我将REQUESTS_CA_BUNDLE设置为空白(即从.bash_profile中删除),请求就会再次工作。

export REQUESTS_CA_BUNDLE=""

该问题仅在通过CLI(命令行接口)执行python请求时出现。如果我运行请求。get(URL, CERT)它解决得很好。

Mac OS Catalina(10.15.6)。 3.6.11的Pyenv。 我正在获得的错误消息:[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获得本地颁发者证书(_ssl.c:1056)

这个答案在其他地方:https://stackoverflow.com/a/64152045/4420657

警告:我对证书不是很了解,但我认为这值得尽早检查。

在花时间重新配置代码/包/系统之前,请确保您试图下载的服务器没有问题。

我认为这个错误可能会产生误导,因为“无法获得本地发行者证书”看起来好像是本地机器出了问题,但事实未必如此。

尝试将您正在尝试加载的页面更改为可能不错的页面,例如https://www.google.com,然后查看问题是否仍然存在。此外,使用https://www.digicert.com/help/上的搜索工具检查出问题的域名。

在我的例子中,DigiCert的工具告诉我“证书不是由受信任的权威签署的(根据Mozilla的根存储进行检查)。”这就解释了为什么我似乎已经安装了根证书,但仍然出现错误。当我测试用HTTPS加载一个不同的网站时,我没有遇到任何问题。

如果这种情况适用于你,那么我认为你可能有3个逻辑选项(按优先级排序):1)修复服务器(如果它在你的控制之下),2)禁用证书检查,同时继续使用HTTPS, 3)跳过HTTPS转到HTTP。

简单地运行:

PIP install——trustedhost =pypi.org——trustedhost =files.pythonhosted.org——user PIP -system-certs'

在Windows上经历了这一点,在与此斗争之后,我下载了网页的SSL证书链

在Chrome浏览器上的步骤-(左上角的挂锁->点击“连接是安全的”->点击“证书是有效的”) 如果需要查看证书链,请选择“证书路径”。 要下载每个证书,请在“证书路径”选项卡中查看证书,打开“详细信息”选项卡,然后复制到文件中

下载后,打开保存证书的地方,然后编译成一个.PEM文件

举个例子:

    openssl x509 -in inputfilename.cer -inform DER -outform PEM  >> .pem

顺序很重要,从链中最低的证书开始,否则你的bundle将无效

最后

    response = requests.get('enter/urll/here', verify ='/path/to/created bundle')