OpenSSL 无法验证 DevSidecar 的自签名证书

文章目录

  • [1:使用 -CAfile 指定自签名证书本身作为 CA](#1:使用 -CAfile 指定自签名证书本身作为 CA)
  • 2:将自签名证书添加到系统信任库
  • [3:配置 Python 直接信任该证书](#3:配置 Python 直接信任该证书)
    • [方法 1 : 在 Python 代码中指定证书路径:](#方法 1 : 在 Python 代码中指定证书路径:)
    • [方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量](#方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量)

执行 openssl verify /usr/local/share/ca-certificates/dev-sidecar.ca.crt 报错

txt 复制代码
CN = DevSidecar - This certificate is generated locally, C = CN, ST = GuangDong, L = ShenZhen, O = dev-sidecar, OU = https://github.com/docmirror/dev-sidecar
error 18 at 0 depth lookup: self-signed certificate
error /usr/local/share/ca-certificates/dev-sidecar.ca.crt: verification failed

这个错误表明 OpenSSL 无法验证 DevSidecar 的自签名证书,因为它是自签名的(self-signed),默认不受系统信任。以下是解决方案:

1:使用 -CAfile 指定自签名证书本身作为 CA

由于证书是自签名的,你可以将证书本身作为 CA 文件来验证:

bash 复制代码
openssl verify -CAfile /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/share/ca-certificates/dev-sidecar.ca.crt

如果证书是有效的自签名证书,这会显示 OK

2:将自签名证书添加到系统信任库

如果你希望系统全局信任该证书(例如用于 HTTPS 或其他服务),可以:

  1. 在 Debian/Ubuntu 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
  1. 在 RHEL/CentOS 上:
bash 复制代码
sudo cp /usr/share/ca-certificates/dev-sidecar.ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

将自签名证书添加到系统的信任库,使其被系统全局信任(例如用于 HTTPS、curl、wget 等)。Ubuntu 的系统 CA 证书存储在 /etc/ssl/certs/,你可以检查是否生成了对应的符号链接!

3:配置 Python 直接信任该证书

在 Ubuntu 上,即使你已经将自签名证书添加到系统信任库(/usr/local/share/ca-certificates/ 并运行 update-ca-certificates),Python 的 requests 库可能仍然报错 SSLError: unable to get local issuer certificate,原因可能是:

  1. Python requests 不使用系统 CA 存储

    • 默认情况下,requests 使用的是它自己的 CA 证书包(通常是 certifi 提供的),而不是系统的 /etc/ssl/certs/。
    • 即使系统信任了你的自签名证书,requests 仍然可能找不到它。
  2. 证书链不完整

    • 如果你的自签名证书是中间 CA 证书(intermediate CA),而 requests 需要完整的证书链(root CA + intermediate CA),但你的证书可能只包含其中一部分。
  3. Python SSL 模块未正确加载系统 CA

    • 某些情况下,Python 的 ssl 模块可能没有正确加载系统的 CA 证书。

方法 1 : 在 Python 代码中指定证书路径:

python 复制代码
import os
os.environ['REQUESTS_CA_BUNDLE'] = '/usr/local/share/ca-certificates/dev-sidecar.ca.crt'

# 然后再加载模型
from sentence_transformers import SentenceTransformer
model = SentenceTransformer('all-MiniLM-L6-v2')

方法 2: 设置 REQUESTS_CA_BUNDLE 环境变量

让 requests 使用自定义的 CA 包:

bash 复制代码
export REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt

或者在 Python 代码中设置:

python 复制代码
import os
os.environ["REQUESTS_CA_BUNDLE"] = "/etc/ssl/certs/ca-certificates.crt"

response = requests.get("https://github.com")
print(response.status_code)
相关推荐
毛飞龙5 小时前
Python类(class)参数self的理解
python··self
魔尔助理顾问5 小时前
系统整理Python的循环语句和常用方法
开发语言·后端·python
颜颜yan_7 小时前
Python面向对象编程详解:从零开始掌握类的声明与使用
开发语言·redis·python
我的ID配享太庙呀8 小时前
Django 科普介绍:从入门到了解其核心魅力
数据库·后端·python·mysql·django·sqlite
@蓝莓果粒茶9 小时前
LeetCode第350题_两个数组的交集II
c++·python·学习·算法·leetcode·职场和发展·c#
FinAnalyzer9 小时前
如何在 InsCodeAI 上搭建并使用 Jupyter Notebook 环境?
ide·python·jupyter
java1234_小锋9 小时前
【NLP舆情分析】基于python微博舆情分析可视化系统(flask+pandas+echarts) 视频教程 - 微博文章数据可视化分析-文章分类下拉框实现
python·自然语言处理·flask
檀越剑指大厂9 小时前
【Python系列】Flask 应用中的主动垃圾回收
开发语言·python·flask
檀越剑指大厂9 小时前
【Python系列】使用 memory_profiler 诊断 Flask 应用内存问题
开发语言·python·flask
WXX_s9 小时前
【OpenCV篇】OpenCV——03day.图像预处理(2)
人工智能·python·opencv·学习·计算机视觉