SSLError(SSLError(1, '_ssl.c:510: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:

本文介绍了如何处理pip安装时遇到的SSL错误,建议通过安装urllib3[secure]来解决因curl证书过旧导致的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 关于pip版本的查看和更换pip版本
pip list 查看pip安装的包的版本
pip -V 查看pip本身的版本
easy_install pip=9.0.1

SSLError: [Errno 1] _ssl.c:504: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

  • 解决方法是安装urllib3[secure],也就是带安全模块的urllib3.
<think>我们正在处理一个TLS握手过程中服务器证书验证失败的错误:`certificate verify failed (statem_clnt.c:1924)`。这个错误发生在客户端(client)尝试验证服务器证书时。根据引用[1],我们知道证书是由CA签名的,而验证失败意味着客户端无法信任服务器提供的证书。 ### 错误原因分析 1. **自签名证书**:服务器使用了自签名证书,而客户端没有将其添加到信任库中。 2. **证书链不完整**:服务器没有提供完整的证书链(即缺少中间CA证书)。 3. **证书过期**:服务器证书已过期或尚未生效。 4. **主机名不匹配**:证书中的Common Name (CN) 或Subject Alternative Name (SAN) 与客户端连接的主机名不匹配。 5. **根CA证书缺失**:客户端的信任库中缺少根CA证书。 6. **证书被吊销**:服务器证书已被颁发机构吊销(如通过CRL或OCSP)。 ### 解决方案 #### 1. 检查证书有效性 使用OpenSSL检查服务器证书: ```bash openssl s_client -connect example.com:443 -showcerts ``` 检查输出中的证书链和验证结果(通常以`Verify return code`结尾)。如果返回非0值,则说明验证失败。 #### 2. 安装缺失的CA证书 如果证书链不完整,需要将中间CA证书或根CA证书添加到客户端的信任库中。 - **在Linux系统中**,将CA证书(PEM格式)放入`/usr/local/share/ca-certificates/`,然后运行: ```bash sudo update-ca-certificates ``` - **在Python中**,可以指定自定义CA证书包: ```python import ssl import urllib.request context = ssl.create_default_context(cafile="/path/to/custom-ca-bundle.crt") response = urllib.request.urlopen("https://example.com", context=context) ``` #### 3. 忽略证书验证(仅用于测试) **警告:** 这会降低安全性,仅用于测试环境。 - **Python requests库**: ```python import requests response = requests.get("https://example.com", verify=False) ``` #### 4. 修复主机名不匹配 确保客户端连接的主机名与证书中的CN或SAN一致。如果使用IP地址连接,证书中必须包含该IP地址(SAN扩展)。 #### 5. 检查证书有效期 使用OpenSSL检查证书有效期: ```bash openssl x509 -in server.crt -noout -dates ``` #### 6. 处理证书吊销状态 如果证书被吊销,需要联系证书颁发机构(CA)重新颁发证书。 ### 预防措施 - 使用受信任的CA(如Let&#39;s Encrypt)颁发证书。 - 确保证书链完整。服务器配置时应包括服务器证书和所有中间CA证书(不包括根CA)。 - 定期更新证书,避免过期。 ### 相关问题 1. **如何生成自签名证书并配置服务器使用?** 2. **如何检查SSL/TLS证书链是否完整?** 3. **如何为内部网络设置私有CA?** 4. **TLS证书验证的详细过程是怎样的?** 通过上述步骤,应能解决大多数证书验证失败的问题。如问题依旧,请提供更多错误上下文或服务器配置信息。</think>针对 TLS 连接过程中出现的 `certificate verify failed` (statem_clnt.c:1924) 错误,这表示客户端在验证服务器证书时失败。以下是系统化解决方案: --- ### 一、核心原因分析 1. **证书链不完整** - 服务器未提供完整的证书链(缺少中间 CA 证书) - 客户端无法构建到根证书的信任路径 [^1] 2. **证书过期或无效** - 服务器证书已过期(检查 `notAfter` 日期) - 证书域名与访问地址不匹配(CN 或 SAN 无效) 3. **根证书缺失** - 客户端信任库缺少根 CA 证书 - 特别是自签名证书或私有 CA 颁发的证书 4. **证书吊销状态** - 证书被 CA 吊销(通过 CRL 或 OCSP 验证失败) - 客户端严格检查吊销状态 --- ### 二、解决方案步骤 #### ▶ 1. 验证服务器证书链 ```bash # 获取服务器完整证书链 openssl s_client -connect example.com:443 -showcerts < /dev/null ``` - **检查输出**: - 应包含 3 部分:服务器证书 → 中间 CA → 根 CA - 若只有 1 个证书,说明配置错误 #### ▶ 2. 修复证书链配置 - **Apache 配置**: ```apache SSLCertificateFile /path/server.crt SSLCertificateChainFile /path/intermediate.crt # 关键! ``` - **Nginx 配置**: ```nginx ssl_certificate /path/fullchain.pem; # 必须包含服务器证书+中间CA ssl_certificate_key /path/private.key; ``` #### ▶ 3. 更新客户端信任库 - **Linux 系统**: ```bash # 将根证书复制到信任目录 sudo cp root_ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates ``` - **Python 代码**: ```python import ssl context = ssl.create_default_context(cafile="/path/custom_ca_bundle.crt") ``` #### ▶ 4. 检查证书有效性 ```bash # 检查证书过期时间和域名 openssl x509 -in server.crt -noout -dates -subject -ext subjectAltName ``` - 输出必须包含: ``` notAfter=Dec 31 23:59:59 2025 GMT subject=CN = example.com X509v3 Subject Alternative Name: DNS:example.com ``` #### ▶ 5. 临时绕过验证(仅测试) ```python # Python requests (生产环境禁用!) requests.get("https://example.com", verify=False) # curl 命令 curl --insecure https://example.com ``` --- ### 三、诊断工具 1. **SSL 实验室测试**: [https://www.ssllabs.com/ssltest](https://www.ssllabs.com/ssltest) 输入域名可检测证书链完整性。 2. **本地证书验证**: ```bash openssl verify -CAfile server.crt -CAfile full_chain.crt ``` - ✅ 输出 `server.crt: OK` 表示验证通过 - ❌ 输出 `error 20: unable to get local issuer certificate` 表示中间 CA 缺失 --- ### 四、预防措施 1. **证书部署规范**: - 始终使用包含中间 CA 的 `fullchain.pem` - 使用 ACME 客户端(如 Certbot)自动维护证书 2. **信任库维护**: ```bash # 定期更新系统 CA 证书 sudo apt update && sudo apt install --only-upgrade ca-certificates ``` 3. **代码安全实践**: ```python # 正确配置 SSL 上下文 context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT) context.load_verify_locations(cafile="/etc/ssl/certs/ca-certificates.crt") ``` --- ### 相关问题 1. **如何生成包含完整证书链的 PEM 文件?** 2. **Let&#39;s Encrypt 证书如何自动续期?** 3. **OpenSSL 报错 `unable to get local issuer certificate` 如何解决?** 4. **在 Docker 容器中如何更新 CA 证书?** > 若问题仍未解决,请提供以下信息: > - 服务器类型(Apache/Nginx) > - 客户端环境(Python 版本/操作系统) > - `openssl s_client -connect yourdomain:443` 完整输出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值