我试图连接到公司内部网HTTPS服务器,该服务器使用内部CA,从Python内运行/在Linux机器上运行的请求。我有一个.pem文件,其中包含我们的证书(4096位RSA,CSSM_KEYUSE_VERIFY,CA = true)。将单个证书添加到请求
我把它放到/usr/share/ca-certificates
的子文件夹中,并使用sudo dpkg-reconfigure ca-certificates
来将它集成到系统中。
在requests documentation,我发现:
您可以通过验证路径到CA_BUNDLE文件或目录与信任的CA证书......如果验证设置为一个目录的路径,该目录必须有使用OpenSSL提供的c_rehash实用程序进行处理。
我相信(但不确定)/etc/ssl/certs
满足这种情况。现在
,我试图以各种方式要求:
requests.get(download_url)
# throws requests.exceptions.SSLError: ("bad handshake: Error([
# ('SSL routines', 'ssl3_get_server_certificate',
# 'certificate verify failed')],)",)
requests.get(download_url, verify = False)
# works, but is obviously bad (and spits out a warning)
requests.get(download_url, verify = pem_file_path)
# same SSLError as above (option shows no effect)
requests.get(download_url, cert = pem_file_path)
requests.get(download_url, cert = '/etc/ssl/certs')
# both throw OpenSSL.SSL.Error: [
# ('PEM routines', 'PEM_read_bio', 'no start line'),
# ('SSL routines', 'SSL_CTX_use_PrivateKey_file', 'PEM lib')]
requests.get(download_url, verify = '/etc/ssl/certs')
# Finally, this raises an unprintable exception:
# requests.exceptions.SSLError: <exception str() failed>
其实,using self-signed certificates with requests in python看起来可能说明了同样的问题(但还没有回答)。
你得到一个SSL错误,以便先验证自己与OpenSSL的HTTPS ://www.openssl.org/docs/manmaster/apps/verify.html – stark
你是对的。问题出在证书上,而不是我尝试使用它的方式。 –