对我来说，所有建议的解决办法都不管用。但是，我是在公司PC的终端上运行代码的，PC上安装了一个名为ZScaler的IT安全软件包。禁用ZScaler软件解决了我所有的问题。

我最近在连接MongoDB Atlas时遇到了这个问题。我更新到最新的certifi python包，现在可以工作了。

(python 3.8，升级到certifi 2020.4.5.1，之前的certifi版本2019.11.28)

我在OSX上遇到了同样的问题，而我的代码在Linux上完全没问题，你在你的问题中给出了答案!

在检查您指向/Applications/Python 3.7/Install certificates .command的文件后，发现该命令将默认Python安装的根证书替换为通过certifi包提供的根证书。

Certifi是根证书的集合。每个SSL证书都依赖于一个信任链:您信任一个特定的证书，因为您信任该证书的父证书，因此您信任该证书的父证书，等等。在某些情况下，没有“父”证书，这些是“根”证书。对于这些问题，除了捆绑普遍信任的根证书(通常是大型信托公司，如eg。“DigiCert”)。

例如，您可以在浏览器安全设置中看到根证书(例如Firefox->首选项->隐私和安全->视图证书->权威)。

回到最初的问题，在运行.command文件之前，在干净的安装上执行这个命令会返回一个空列表:

import os
import ssl                                        
openssl_dir, openssl_cafile = os.path.split(      
    ssl.get_default_verify_paths().openssl_cafile)
# no content in this folder
os.listdir(openssl_dir)
# non existent file
print(os.path.exists(os.path.join(openssl_dir, openssl_cafile)))

这意味着OSX上的Python安装没有默认的证书颁发机构。可能的默认值正是证书包提供的。

在此之后，您只需创建一个具有正确默认值的SSL上下文，如下所示(certificate .where()给出了证书颁发机构的位置):

import platform
# ...

ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS)
ssl_context.verify_mode = ssl.CERT_REQUIRED
ssl_context.check_hostname = True
ssl_context.load_default_certs()

if platform.system().lower() == 'darwin':
    import certifi
    ssl_context.load_verify_locations(
        cafile=os.path.relpath(certifi.where()),
        capath=None,
        cadata=None)

然后像这样从python请求一个url:

import urllib
# previous context
https_handler = urllib.request.HTTPSHandler(context=ssl_context)

opener = urllib.request.build_opener(https_handler)
ret = opener.open(url, timeout=2)

我在Ventura上用python 3.9-10遇到了这个问题，尽管我已经尝试过了:

将我的私有CA证书添加到/etc/ssl/cert.pem, /etc/ssl/certs/ 将我的私有CA证书添加到特定证书的cert.pem文件中 将我的私人CA证书添加到我的钥匙链到“系统”桶 设置REQUESTS_CA_BUNDLE = / etc / ssl / cert.pem

这使请求工作，但httpconnection和urllib3验证失败，所以它仍然有一个地方添加CA证书:

/usr/local/etc/ca-certificates / cert.pem

我相信这是因为我已经通过brew安装了openssl，这设置了上面的文件，并从/usr/local/etc/openssl@1.1/cert.pem中添加了符号链接。

因此，如果有人在通过brew安装openssl后遇到证书验证失败的情况，那么这可能就是原因所在。

突然，我开始在windows环境中遇到这个问题。更糟糕的是，当我运行pip时也出现了这个问题，所以问题不是与远程服务器证书有关。

在尝试了许多不同的方法后，我从多个答案中找到了解决方案:

在pip.ini中添加可信主机:pip config set global。“pypi.python.org”(不工作，只传递PIP安装参数) 更新系统证书:pip install pip-system-certs(在安装python- certificate -win32时无效)

现在https请求再次工作\o/

此页是谷歌中“证书验证失败:无法获得本地颁发者证书”的最高点击率，因此，虽然这没有直接回答最初的问题，但下面是对具有相同症状的问题的修复。我在尝试将TLS添加到xmlrpc服务时遇到了这个问题。这需要使用相当低级的ssl。SSLContext类。该错误表示缺少证书。修复方法是在构造SSLContext对象时做几件事:

首先，在客户端:

def get_client():
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    # Load the default certs:
    context.load_default_certs()

    # Optionally, install the intermediate certs.
    # This _should_ be handled by the server, but
    # maybe helpful in some cases.
    # context.load_verify_locations('path/to/ca_bundle.crt')
    return xmlrpc.client.ServerProxy('https://server.yourdomain.com/', context=context)

在服务器端，你需要在上下文中安装中间的certs:

class SecureXMLRPCServer(socketserver.TCPServer, 
        xmlrpc.server.SimpleXMLRPCDispatcher):
    # https://gist.github.com/monstermunchkin/1100226
    allow_reuse_address = True

    def __init__(self, addr, certfile, keyfile=None,
            ca_bundle=None,
            requestHandler=xmlrpc.server.SimpleXMLRPCRequestHandler,
            logRequests=True, allow_none=False, encoding=None, 
            bind_and_activate=True, ssl_version=ssl.PROTOCOL_TLSv1_2):
        self.logRequests = logRequests

        # create an SSL context
        self.context = ssl.SSLContext(ssl_version)
        self.context.load_default_certs()

        # The server is the correct place to load the intermediate CA certificates:
        self.context.load_verify_locations(ca_bundle)
        self.context.load_cert_chain(certfile=certfile, keyfile=keyfile)

        xmlrpc.server.SimpleXMLRPCDispatcher.__init__(self, allow_none, 
                encoding)
        # call TCPServer constructor
        socketserver.TCPServer.__init__(self, addr, requestHandler, 
                bind_and_activate)

        if fcntl is not None and hasattr(fcntl, 'FD_CLOEXEC'):
            flags = fcntl.fcntl(self.fileno(), fcntl.F_GETFD)
            flags |= fcntl.FD_CLOEXEC
            fcntl.fcntl(self.fileno(), fcntl.F_SETFD, flags)

    def get_request(self):
        newsocket, fromaddr = self.socket.accept()
        # create an server-side SSL socket
        sslsocket = self.context.wrap_socket(newsocket, server_side=True)
        return sslsocket, fromaddr