0

对于两个基本相同的系统(都运行 Fedora 25,都安装了相似的软件包版本),一个系统因 SSL 证书验证错误而失败,而另一个系统则没有。也就是说,如果我运行:

import requests
r = requests.get('https://insidehost.corp.example.com')

一个系统可以工作,而另一个系统会失败:

requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'ssl3_get_server_certificate', 'certificate verify failed')],)",)

起初我认为我只是缺少必要的 CA 证书,但运行 python understrace表明在失败的系统上,python从未尝试打开 ca bundle。也就是说,在有效的系统上:

strace -e trace=open,stat python testscript.py |& grep /etc/pki

仅收益:

open("/etc/pki/tls/legacy-settings", O_RDONLY) = -1 ENOENT (No such file or directory)
stat("/etc/pki/tls/certs/ca-bundle.crt", {st_mode=S_IFREG|0444, st_size=257079, ...}) = 0
open("/etc/pki/tls/certs/ca-bundle.crt", O_RDONLY) = 4

但是在失败的系统上产生:

open("/etc/pki/tls/legacy-settings", O_RDONLY) = -1 ENOENT (No such file or directory)

python3此外,在失败的系统上运行相同的测试脚本......有效!

在这两种情况下,python/usr/bin/python来自python-2.7.13-1.fc25.x86_64。两个系统都没有设置任何*_CA_BUNDLE环境变量。

4

1 回答 1

0

经过一些额外的调查,我已经弄清楚了,我想我会在这里发布解决方案,因为它不一定很明显。

requests模块包含自己的证书包,如果找不到另一个可使用的,它将依赖该包。它在 requests/certs.py 中查找证书包的方式是这样的:

try:
    from certifi import where
except ImportError:
    def where():
        """Return the preferred certificate bundle."""
        # vendored bundle inside Requests
        return os.path.join(os.path.dirname(__file__), 'cacert.pem')

您可以通过运行以下命令来查看结果:

$ python -m requests.certs
/etc/pki/tls/certs/ca-bundle.crt

从上面的代码可以看出,requests使用certifi模块来定位一个合适的包。在故障系统上,certifi模块是通过pip而不是使用系统包安装的,这意味着它缺少适当的配置。

解决方案是yum install python2-certifi

于 2017-04-07T20:30:36.903 回答