作为网络安全从业者，我经常遇到开发者在使用Python进行HTTPS请求时遇到的SSL证书验证问题。本文将用通俗易懂的方式，结合具体案例，带你彻底理解并解决Python中的SSL证书问题。

为什么会出现SSL证书错误？

想象一下你去银行办理业务，柜员要求你出示身份证。如果身份证过期了或者看起来可疑，银行会拒绝为你服务。SSL/TLS证书在网络通信中扮演的就是这个"数字身份证"的角色。

在Python中发起HTTPS请求时，常见的SSL证书错误主要有以下几种：

1. SSL: CERTIFICATE_VERIFY_FAILED - 最常见的问题，就像银行不认可你的身份证

2. self signed certificate in certificate chain - 相当于你自己手写了一张身份证

3. certificate has expired - 就像过期的身份证

4. hostname doesn't match - 身份证上的名字和你的真实名字不符

让我们看一个实际案例：

```python

import requests

尝试访问一个使用自签名证书的网站

response = requests.get("https://self-signed.badssl.com")

```

运行这段代码会抛出`requests.exceptions.SSLError`异常，因为该网站的证书不是由受信任的CA颁发的。

解决方案1：禁用验证（不推荐）

最简单的解决方案是完全跳过证书验证：

response = requests.get("https://self-signed.badssl.com", verify=False)

这相当于告诉银行："别管我的身份证了，直接给我办业务吧"。虽然能解决问题，但从安全角度看极其危险！黑客可以轻易实施中间人攻击。

解决方案2：添加自定义CA证书（推荐）

更安全的做法是将自定义CA证书添加到信任库中。假设我们有一个内部CA颁发的证书`internal-ca.crt`：

指定自定义CA证书路径

response = requests.get("https://internal.example.com", verify='/path/to/internal-ca.crt')

这就好比银行有自己的内部员工名单，只要你在名单上就能通过验证。

解决方案3：更新系统CA证书库

有时问题只是因为你的Python环境使用的CA证书库过期了。可以通过以下命令安装最新的certifi包：

```bash

pip install --upgrade certifi

或者在代码中指定使用最新certifi的路径：

import certifi

response = requests.get("https://example.com", verify=certifi.where())

解决方案4：处理特定域名的例外情况

对于某些特定域名（如本地开发环境），我们可以创建一个自定义适配器：

from requests.adapters import HTTPAdapter

from urllib3.util.ssl_ import create_urllib3_context

class CustomSSLAdapter(HTTPAdapter):

def init_poolmanager(self, *args, **kwargs):

context = create_urllib3_context()

context.load_default_certs()

添加对特定域名的例外处理

context.check_hostname = False if "dev.local" in kwargs['server_hostname'] else True

kwargs['ssl_context'] = context

return super().init_poolmanager(*args, **kwargs)

s = requests.Session()

s.mount("https://", CustomSSLAdapter())

response = s.get("https://dev.local/api")

这种方法就像告诉保安："如果是张三来找我，不用查他身份证了"。

Python不同版本的处理差异

Python不同版本对SSL的处理有所不同：

- Python 2.7.x：需要额外安装包如`pyOpenSSL`

- Python 3.4+：内置更强大的ssl模块

- Python 3.10+：引入了更严格的默认安全策略

例如在Python2中可能需要这样处理：

import urllib2

import ssl

创建不验证的上下文(危险！)

context = ssl._create_unverified_context()

response = urllib2.urlopen("https://self-signed.badssl.com", context=context)

HTTPS拦截场景下的特殊处理

在企业环境中经常遇到HTTPS被拦截的情况（如Blue Coat、Zscaler等）。这时需要：

1. 导出企业根证书

2. 将其添加到信任链中

import os

Windows系统通常将企业CA安装在以下位置：

enterprise_cert_path = os.path.join(os.environ['USERPROFILE'], 'AppData', 'Local', 'Microsoft', 'Windows', 'EnterpriseCertificates', 'CaCert.pem')

try:

response = requests.get("https://example.com", verify=enterprise_cert_path)

except:

如果失败则回退到系统默认+企业自定义路径的组合认证方式

session = requests.Session()

session.cert = ('/path/to/client.cert', '/path/to/client.key')

response = session.get("https://example.com")

Docker容器中的特殊考量

在Docker容器内运行时，由于基础镜像可能不包含完整的CA证书链，需要额外步骤：

```dockerfile

FROM python:3.8-slim

RUN apt-get update && apt-get install -y ca-certificates && rm -rf /var/lib/apt/lists/*

COPY custom-ca.crt /usr/local/share/ca-certificates/

RUN update-ca-certificates

COPY app.py .

CMD ["python", "app.py"]

然后在Python代码中可以正常使用系统信任库：

import ssl

import urllib.request

context = ssl.create_default_context()

response = urllib.request.urlopen('https://example.com', context=context)

SSL/TLS最佳实践

1. 永远不要在生产环境中禁用验证

2. 保持CA证书库更新

3. 为开发环境配置合理的例外

4. 理解不同Python版本的差异

5. 正确处理企业网络环境

记住：安全性和便利性总是需要权衡。作为开发者，"知其所以然"比简单粗暴地禁用安全措施要重要得多。希望本文能帮助你彻底解决Python中的SSL/TLS认证问题！

TAG:python ssl证书 解决,python ssl报错,python3 ssl,python ssl模块详解,python项目的ssl证书怎么配,python中的ssl模块不可用