OpenSSL 无法验证 DevSidecar 的自签名证书

文章目录

  • [1:使用 -CAfile 指定自签名证书本身作为 CA](#1:使用 -CAfile 指定自签名证书本身作为 CA)
  • 2:将自签名证书添加到系统信任库
  • [3:配置 Python 直接信任该证书](#3:配置 Python 直接信任该证书)
    • [方法 1 : 在 Python 代码中指定证书路径:](#方法 1 : 在 Python 代码中指定证书路径:)
    • [方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量](#方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量)

执行 openssl verify /usr/local/share/ca-certificates/dev-sidecar.ca.crt 报错

txt 复制代码
CN = DevSidecar - This certificate is generated locally, C = CN, ST = GuangDong, L = ShenZhen, O = dev-sidecar, OU = https://github.com/docmirror/dev-sidecar
error 18 at 0 depth lookup: self-signed certificate
error /usr/local/share/ca-certificates/dev-sidecar.ca.crt: verification failed

这个错误表明 OpenSSL 无法验证 DevSidecar 的自签名证书,因为它是自签名的(self-signed),默认不受系统信任。以下是解决方案:

1:使用 -CAfile 指定自签名证书本身作为 CA

由于证书是自签名的,你可以将证书本身作为 CA 文件来验证:

bash 复制代码
openssl verify -CAfile /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/share/ca-certificates/dev-sidecar.ca.crt

如果证书是有效的自签名证书,这会显示 OK

2:将自签名证书添加到系统信任库

如果你希望系统全局信任该证书(例如用于 HTTPS 或其他服务),可以:

  1. 在 Debian/Ubuntu 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
  1. 在 RHEL/CentOS 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

将自签名证书添加到系统的信任库,使其被系统全局信任(例如用于 HTTPS、curl、wget 等)。Ubuntu 的系统 CA 证书存储在 /etc/ssl/certs/,你可以检查是否生成了对应的符号链接!

3:配置 Python 直接信任该证书

在 Ubuntu 上,即使你已经将自签名证书添加到系统信任库(/usr/local/share/ca-certificates/ 并运行 update-ca-certificates),Python 的 requests 库可能仍然报错 SSLError: unable to get local issuer certificate,原因可能是:

  1. Python requests 不使用系统 CA 存储

    • 默认情况下,requests 使用的是它自己的 CA 证书包(通常是 certifi 提供的),而不是系统的 /etc/ssl/certs/。
    • 即使系统信任了你的自签名证书,requests 仍然可能找不到它。
  2. 证书链不完整

    • 如果你的自签名证书是中间 CA 证书(intermediate CA),而 requests 需要完整的证书链(root CA + intermediate CA),但你的证书可能只包含其中一部分。
  3. Python SSL 模块未正确加载系统 CA

    • 某些情况下,Python 的 ssl 模块可能没有正确加载系统的 CA 证书。

方法 1 : 在 Python 代码中指定证书路径:

python 复制代码
import os
os.environ['REQUESTS_CA_BUNDLE'] = '/usr/local/share/ca-certificates/dev-sidecar.ca.crt'

# 然后再加载模型
from sentence_transformers import SentenceTransformer
model = SentenceTransformer('all-MiniLM-L6-v2')

方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量

让 requests 使用自定义的 CA 包:

bash 复制代码
export REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt

或者在 Python 代码中设置:

python 复制代码
import os
os.environ["REQUESTS_CA_BUNDLE"] = "/etc/ssl/certs/ca-certificates.crt"

response = requests.get("https://github.com")
print(response.status_code)
相关推荐
IMPYLH1 小时前
Python 的内置函数 reversed
笔记·python
小赖同学啊3 小时前
物联网数据安全区块链服务
开发语言·python·区块链
码荼3 小时前
学习开发之hashmap
java·python·学习·哈希算法·个人开发·小白学开发·不花钱不花时间crud
小陈phd4 小时前
李宏毅机器学习笔记——梯度下降法
人工智能·python·机器学习
kk爱闹5 小时前
【挑战14天学完python和pytorch】- day01
android·pytorch·python
Blossom.1185 小时前
机器学习在智能建筑中的应用:能源管理与环境优化
人工智能·python·深度学习·神经网络·机器学习·机器人·sklearn
亚力山大抵5 小时前
实验六-使用PyMySQL数据存储的Flask登录系统-实验七-集成Flask-SocketIO的实时通信系统
后端·python·flask
showyoui5 小时前
Python 闭包(Closure)实战总结
开发语言·python
amazinging6 小时前
北京-4年功能测试2年空窗-报培训班学测开-第四十一天
python·学习·appium
amazinging6 小时前
北京-4年功能测试2年空窗-报培训班学测开-第三十九天
python·学习·appium