在网络安全领域，HTTPS证书是保障数据传输安全的核心组件。作为Python开发者，你可能遇到过需要自定义导入HTTPS证书的场景，比如访问自签名证书的网站或企业内网服务。本文将用通俗易懂的语言，结合实例带你彻底搞懂Python中HTTPS证书的导入方法。

一、为什么需要手动导入HTTPS证书？

当Python程序访问HTTPS网站时，默认会验证服务器证书的有效性。但在以下场景会出问题：

1. 自签名证书：比如公司内网的`https://internal-api.example.com`使用自己签发的证书

2. 过期的证书：测试环境经常忽略证书续期

3. 中间人攻击检测：某些安全工具会拦截HTTPS流量

例如直接访问自签名网站会报错：

```python

import requests

response = requests.get("https://self-signed.badssl.com")

抛出SSLError

```

二、4种主流导入方法详解

方法1：全局禁用验证（不推荐）

requests.get("https://example.com", verify=False)

关闭所有验证

?? 危险：相当于关闭防火墙，会暴露于中间人攻击。

方法2：指定CA Bundle路径

requests.get("https://internal-api.com",

verify="/path/to/custom-ca-bundle.crt")

指向自定义CA文件

? 适用场景：企业内网统一使用私有CA签发证书时。

方法3：嵌入PEM格式证书到代码

import certifi

将证书内容添加到默认CA库

custom_ca = """

--BEGIN CERTIFICATE--

MIIDXTCCAkWgAwIBAgIJANu...

--END CERTIFICATE--

"""

with open(certifi.where(), 'a') as f:

f.write(custom_ca)

?? 技巧：适合需要动态更新证书的场景。

方法4：使用SSL上下文（最灵活）

import ssl

from urllib.request import urlopen

context = ssl.create_default_context()

context.load_verify_locations(cafile="custom_ca.crt")

加载特定CA

response = urlopen("https://secure-site.com", context=context)

?? 优势：可以精细控制TLS版本、密码套件等参数。

三、实战案例：爬取***网站数据

假设我们需要爬取某市***网站（使用国密SM2证书）的数据：

1. 获取根证书：

- 从网站导出证书（浏览器→锁图标→导出PEM）

- 或联系管理员获取`gov-root-ca.crt`

2. 代码实现：

session = requests.Session()

session.verify = "/ssl_certs/gov-root-ca.crt"

指定***CA

try:

data = session.get("https://data.gov.cn/api/weather")

print(data.json())

except Exception as e:

print(f"SSL握手失败: {e}")

四、高级技巧与排错指南

?? OpenSSL版本问题排查

如果报错`SSL: CERTIFICATE_VERIFY_FAILED`，可能是：

- Python使用的OpenSSL版本太旧（查看版本`openssl version`）

- CA证书链不完整（用`openssl s_client -showcerts -connect example.com:443`检查）

?? Docker环境特殊处理

在容器中运行时需要：

```dockerfile

COPY ./certs /usr/local/share/ca-certificates/

RUN update-ca-certificates

?? Windows系统注意事项

可能需要将CA安装到系统存储区：

```powershell

Import-Certificate -FilePath .\ca.crt -CertStoreLocation Cert:\LocalMachine\Root

五、安全最佳实践

1. 定期更新CA列表

像维护病毒库一样更新CA文件，特别是Heartbleed漏洞后各大CA都更换了根证。

2. 最小化信任原则

只添加必要的CA，避免使用`verify=False`这种"暴力解法"。

3. 监控异常情况

```python

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

生产环境要删除！

```

通过本文的讲解，相信你已经掌握了Python处理HTTPS证书的核心方法。记住：网络安全无小事，正确处理证书是每个开发者的必修课！

TAG:python导入HTTPS证书,python ssl证书,python 生成证书,python导入re,python项目的ssl证书怎么配,python3导入ssl报错