我正在尝试在Linux机器上使用Python/requests连接企业内部HTTPS服务器,该服务器使用内部CA。 我有一个包含我们证书(4096位RSA,CSSM_KEYUSE_VERIFY,CA = true)的.pem文件。
我将其放入
在requests文档中,我找到了以下内容:
“您可以通过验证CA_BUNDLE文件或具有受信任CA证书的目录的路径来传递verify...如果将verify设置为目录的路径,则必须使用OpenSSL提供的c_rehash实用程序处理该目录。”
我认为(但不确定)
现在,我以各种方式尝试了requests:
我将其放入
/usr/share/ca-certificates
的子文件夹中,并使用sudo dpkg-reconfigure ca-certificates
将其集成到系统中。在requests文档中,我找到了以下内容:
“您可以通过验证CA_BUNDLE文件或具有受信任CA证书的目录的路径来传递verify...如果将verify设置为目录的路径,则必须使用OpenSSL提供的c_rehash实用程序处理该目录。”
我认为(但不确定)
/etc/ssl/certs
符合此条件。现在,我以各种方式尝试了requests:
requests.get(download_url)
# throws requests.exceptions.SSLError: ("bad handshake: Error([
# ('SSL routines', 'ssl3_get_server_certificate',
# 'certificate verify failed')],)",)
requests.get(download_url, verify = False)
# works, but is obviously bad (and spits out a warning)
requests.get(download_url, verify = pem_file_path)
# same SSLError as above (option shows no effect)
requests.get(download_url, cert = pem_file_path)
requests.get(download_url, cert = '/etc/ssl/certs')
# both throw OpenSSL.SSL.Error: [
# ('PEM routines', 'PEM_read_bio', 'no start line'),
# ('SSL routines', 'SSL_CTX_use_PrivateKey_file', 'PEM lib')]
requests.get(download_url, verify = '/etc/ssl/certs')
# Finally, this raises an unprintable exception:
# requests.exceptions.SSLError: <exception str() failed>
实际上,在Python中使用自签名证书进行请求看起来可能描述了同样的问题(但尚未得到解答)。