有些服务器没有Letsencrypt的可信根证书。

例如，假设下面的url指向的服务器受到Letsencrypt SSL的保护。

requests.post(url, json=data)

此请求可能使用[SSL: CERTIFICATE_VERIFY_FAILED]失败，因为请求服务器没有Letsencrypt的根证书。

当发生这种情况时，请从下面的链接下载活动自签名的“pem”证书。

https://letsencrypt.org/certificates/。(在撰写本文时，ISRG根X1处于活动状态)

现在，在verify参数中使用它，如下所示。

requests.post(url, json=data, verify='path-to/isrgrootx1.pem')

正如@Rafael Almeida所提到的，您遇到的问题是由不受信任的SSL证书引起的。在我的例子中，我的服务器不信任SSL证书。为了在不影响安全性的情况下解决这个问题，我下载了证书，并将其安装到服务器上(只需双击.crt文件，然后安装证书…)。

对我来说，原因相当微不足道。

直到几天前，我才知道SSL验证工作正常，实际上是在另一台机器上工作。

我的下一步是比较正在进行验证的机器和没有进行验证的机器之间的证书内容和大小。

这很快导致我确定在“不正确”工作的机器上的证书并不好，一旦我用“良好”证书替换它，一切都很好。

来自SSL验证的请求文档:

请求可以验证HTTPS请求的SSL证书，就像web浏览器一样。要检查主机的SSL证书，可以使用verify参数:

>>> requests.get('https://kennethreitz.com', verify=True)

如果您不想验证您的SSL证书，则使verify=False

如果从另一个包调用请求，则添加选项是不可行的。在这种情况下，将证书添加到cacert包是直接的路径，例如，我必须添加“StartComClass1 Primary Intermediate Server CA”，为此我将根证书下载到StartComClass1.pem中。鉴于我的virtualenv被命名为caldav，我添加了证书:

cat StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/pip/_vendor/requests/cacert.pem
cat temp/StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/requests/cacert.pem

其中一个可能就够了，我没有检查

如果你有一个依赖于请求的库，你不能修改验证路径(比如pyvmomi)，那么你必须找到cacert。. pem和请求捆绑在一起，并在那里追加您的CA。下面是查找cacert的通用方法。pem位置:

窗户

C:\>python -c "import requests; print requests.certs.where()"
c:\Python27\lib\site-packages\requests-2.8.1-py2.7.egg\requests\cacert.pem

linux

#  (py2.7.5,requests 2.7.0, verify not enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/lib/python2.7/dist-packages/certifi/cacert.pem

#  (py2.7.10, verify enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/local/lib/python2.7/dist-packages/requests/cacert.pem

顺便说一句。@requests-devs，把自己的cacerts和request捆绑在一起真的很讨厌…特别是事实是，您似乎没有首先使用系统ca存储，这是没有记录在任何地方。

更新

在使用库且无法控制ca-bundle位置的情况下，你也可以显式地将ca-bundle位置设置为主机范围内的ca-bundle:

REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-bundle.crt python -c "import requests; requests.get('https://somesite.com')";