import requests
data = {'foo':'bar'}
url = 'https://foo.com/bar'
r = requests.post(url, data=data)
如果URL使用自签名证书,则失败并显示
requests.exceptions.SSLError: [Errno 1] _ssl.c:507: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
我知道我可以像这样传递False给verify参数:
r = requests.post(url, data=data, verify=False)
但是,我想做的是将请求指向磁盘上的公共密钥副本,并告诉它信任该证书。
Answers:
尝试:
r = requests.post(url, data=data, verify='/path/to/public_key.pem')
ssl.get_server_certificate下载的证书(self-signed.badssl.com, 443),将该证书保存到cert.pem,然后运行requests.get('https://self-signed.badssl.com/', verify='cert.pem'),但仍然失败并出现SSL错误(该证书是自签名的)。
使用该verify参数,您可以提供自定义证书颁发机构捆绑包
requests.get(url, verify=path_to_bundle_file)
从文档:
您可以
verify使用受信任的CA证书将路径传递到CA_BUNDLE文件。也可以通过REQUESTS_CA_BUNDLE环境变量指定此受信任CA的列表。
cert=(...)是只对客户端SSL,又名相互TLS。尽管很有趣,但它要稀有得多,而且不是真正的问题所在。
最简单的方法是导出REQUESTS_CA_BUNDLE指向您的专用证书颁发机构或特定证书捆绑包的变量。在命令行上,您可以执行以下操作:
export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem
python script.py
如果您拥有证书颁发机构,并且不想export每次键入,都可以按如下所示将添加REQUESTS_CA_BUNDLE到您的证书中~/.bash_profile:
echo "export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem" >> ~/.bash_profile ; source ~/.bash_profile
解决了需要多个证书的情况,如下所示:将多个根pem文件myCert-A-Root.pem和myCert-B-Root.pem连接到一个文件。然后将请求REQUESTS_CA_BUNDLE var设置到我的./.bash_profile中的该文件。
$ cp myCert-A-Root.pem ca_roots.pem
$ cat myCert-B-Root.pem >> ca_roots.pem
$ echo "export REQUESTS_CA_BUNDLE=~/PATH_TO/CA_CHAIN/ca_roots.pem" >> ~/.bash_profile ; source ~/.bash_profile
如果有人碰巧在这里(就像我一样)希望为httplib2添加一个CA(在我的情况下为Charles Proxy),则看起来您可以将其附加到cacerts.txtpython软件包随附的文件中。
例如:
cat ~/Desktop/charles-ssl-proxying-certificate.pem >> /usr/local/google-cloud-sdk/lib/third_party/httplib2/cacerts.txt
其他解决方案中引用的环境变量似乎是特定于请求的,并且在我的测试中没有被httplib2接受。
您可以尝试:
settings = s.merge_environment_settings(prepped.url, None, None, None, None)
您可以在此处阅读更多信息:http : //docs.python-requests.org/en/master/user/advanced/