OpenSSL 无法验证 DevSidecar 的自签名证书

文章目录

  • [1:使用 -CAfile 指定自签名证书本身作为 CA](#1:使用 -CAfile 指定自签名证书本身作为 CA)
  • 2:将自签名证书添加到系统信任库
  • [3:配置 Python 直接信任该证书](#3:配置 Python 直接信任该证书)
    • [方法 1 : 在 Python 代码中指定证书路径:](#方法 1 : 在 Python 代码中指定证书路径:)
    • [方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量](#方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量)

执行 openssl verify /usr/local/share/ca-certificates/dev-sidecar.ca.crt 报错

txt 复制代码
CN = DevSidecar - This certificate is generated locally, C = CN, ST = GuangDong, L = ShenZhen, O = dev-sidecar, OU = https://github.com/docmirror/dev-sidecar
error 18 at 0 depth lookup: self-signed certificate
error /usr/local/share/ca-certificates/dev-sidecar.ca.crt: verification failed

这个错误表明 OpenSSL 无法验证 DevSidecar 的自签名证书,因为它是自签名的(self-signed),默认不受系统信任。以下是解决方案:

1:使用 -CAfile 指定自签名证书本身作为 CA

由于证书是自签名的,你可以将证书本身作为 CA 文件来验证:

bash 复制代码
openssl verify -CAfile /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/share/ca-certificates/dev-sidecar.ca.crt

如果证书是有效的自签名证书,这会显示 OK

2:将自签名证书添加到系统信任库

如果你希望系统全局信任该证书(例如用于 HTTPS 或其他服务),可以:

  1. 在 Debian/Ubuntu 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
  1. 在 RHEL/CentOS 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

将自签名证书添加到系统的信任库,使其被系统全局信任(例如用于 HTTPS、curl、wget 等)。Ubuntu 的系统 CA 证书存储在 /etc/ssl/certs/,你可以检查是否生成了对应的符号链接!

3:配置 Python 直接信任该证书

在 Ubuntu 上,即使你已经将自签名证书添加到系统信任库(/usr/local/share/ca-certificates/ 并运行 update-ca-certificates),Python 的 requests 库可能仍然报错 SSLError: unable to get local issuer certificate,原因可能是:

  1. Python requests 不使用系统 CA 存储

    • 默认情况下,requests 使用的是它自己的 CA 证书包(通常是 certifi 提供的),而不是系统的 /etc/ssl/certs/。
    • 即使系统信任了你的自签名证书,requests 仍然可能找不到它。
  2. 证书链不完整

    • 如果你的自签名证书是中间 CA 证书(intermediate CA),而 requests 需要完整的证书链(root CA + intermediate CA),但你的证书可能只包含其中一部分。
  3. Python SSL 模块未正确加载系统 CA

    • 某些情况下,Python 的 ssl 模块可能没有正确加载系统的 CA 证书。

方法 1 : 在 Python 代码中指定证书路径:

python 复制代码
import os
os.environ['REQUESTS_CA_BUNDLE'] = '/usr/local/share/ca-certificates/dev-sidecar.ca.crt'

# 然后再加载模型
from sentence_transformers import SentenceTransformer
model = SentenceTransformer('all-MiniLM-L6-v2')

方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量

让 requests 使用自定义的 CA 包:

bash 复制代码
export REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt

或者在 Python 代码中设置:

python 复制代码
import os
os.environ["REQUESTS_CA_BUNDLE"] = "/etc/ssl/certs/ca-certificates.crt"

response = requests.get("https://github.com")
print(response.status_code)
相关推荐
SelectDB1 小时前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
荣码9 小时前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
金銀銅鐵20 小时前
[Python] 基于欧几里得算法,实现分数约分计算器
python·数学
Lyn_Li1 天前
Kaggle Top 5 | 198只股票、200条数据的金融预测——BattleFin高分方案从零复现
python·kaggle·比赛复盘·金融预测
小九九的爸爸1 天前
前端想要入门Agent开发,要具备哪些Python基础?
python·agent·ai编程
阿耶同学1 天前
手把手教你用 LangGraph 搭建三层嵌套 Agent 架构
python·程序员
花酒锄作田2 天前
Pydantic校验配置文件
python
hboot2 天前
AI工程师第四课 - 深度学习入门
pytorch·python·神经网络
ZhengEnCi2 天前
P2M-Matplotlib折线图完全指南-从数据可视化到趋势分析的Python绘图利器
python·matlab·数据可视化
ZhengEnCi2 天前
P2L-Matplotlib饼图完全指南-从数据可视化到图表定制的Python绘图利器
python·matlab