如果你有一个依赖于请求的库，你不能修改验证路径(比如pyvmomi)，那么你必须找到cacert。. pem和请求捆绑在一起，并在那里追加您的CA。下面是查找cacert的通用方法。pem位置:

窗户

C:\>python -c "import requests; print requests.certs.where()"
c:\Python27\lib\site-packages\requests-2.8.1-py2.7.egg\requests\cacert.pem

linux

#  (py2.7.5,requests 2.7.0, verify not enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/lib/python2.7/dist-packages/certifi/cacert.pem

#  (py2.7.10, verify enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/local/lib/python2.7/dist-packages/requests/cacert.pem

顺便说一句。@requests-devs，把自己的cacerts和request捆绑在一起真的很讨厌…特别是事实是，您似乎没有首先使用系统ca存储，这是没有记录在任何地方。

更新

在使用库且无法控制ca-bundle位置的情况下，你也可以显式地将ca-bundle位置设置为主机范围内的ca-bundle:

REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-bundle.crt python -c "import requests; requests.get('https://somesite.com')";

这与@rafael-almeida的回答类似，但我想指出的是，对于2.11+的请求，没有3个值可以验证，实际上有4个:

True:根据请求的内部可信ca进行验证。 False:完全跳过证书验证。(不推荐) CA_BUNDLE文件的路径。请求将使用它来验证服务器的证书。 包含公共证书文件的路径。请求将使用它来验证服务器的证书。

我剩下的答案是关于#4，如何使用包含证书的目录来验证:

获取所需的公共证书，并将它们放在一个目录中。

严格地说，您可能“应该”使用带外方法获取证书，但您也可以使用任何浏览器下载它们。

如果服务器使用证书链，请确保获取链中的每个证书。

根据请求文档，包含证书的目录必须首先使用“rehash”实用程序(openssl rehash)进行处理。

(这需要openssl 1.1.1+，并且不是所有的Windows openssl实现都支持rehash。如果openssl rehash对你不起作用，你可以尝试在https://github.com/ruby/openssl/blob/master/sample/c_rehash.rb上运行rehash ruby脚本，尽管我还没有尝试过。)

我在让请求识别我的证书时遇到了一些麻烦，但是在我使用openssl x509 -outform PEM命令将证书转换为Base64 . PEM格式后，一切都完美地工作了。

你也可以只做惰性重哈希:

try:
    # As long as the certificates in the certs directory are in the OS's certificate store, `verify=True` is fine.
    return requests.get(url, auth=auth, verify=True)
except requests.exceptions.SSLError:
    subprocess.run(f"openssl rehash -compat -v my_certs_dir", shell=True, check=True)
    return requests.get(url, auth=auth, verify="my_certs_dir")

正如其他人指出的那样，这个问题“是由不受信任的SSL证书引起的”。我的答案是基于评分最高的答案和这个答案。

您可以使用curl测试证书:

curl -vvI https://example.com

如果一个错误返回，你有3个选项:

为了快速修复，您可以不验证证书:

requests.get('https://example.com', verify=False)

将路径传递给CA_BUNDLE文件或包含受信任ca证书的目录:

requests.get('https://example.com', verify='/path/to/certfile')

如果您有权访问，请修复web服务器证书。

我的问题在于我只使用了我站点的证书，而不是中间证书(也就是链证书)。

如果你正在使用Let's Encrypt，你应该使用全链。Pem文件，而不是cert.pem。

当它说验证需要“证书路径”时，我将其指向发行者证书，以便它可以使用该证书来验证url的证书。Curl和wget可以使用该证书。但不是python请求。

我必须为python请求创建一个包含从end (leaf?)到root的所有证书的证书链，才能很好地处理它。而且这个链很自然地与cURL和Wget一起工作。

希望它能帮助别人，节省几个小时。

我想参加派对太晚了，但我想把这个补丁粘贴给像我这样的流浪者!因此，下面的代码在Python 3.7.x上对我有效

在终端中输入以下内容

pip install --upgrade certifi      # hold your breath..

试着再次运行你的脚本/请求，看看它是否有效(我肯定它还不会被修复!)。如果它不起作用，那么尝试直接在终端中运行以下命令

open /Applications/Python\ 3.6/Install\ Certificates.command  # please replace 3.6 here with your suitable python version

如果从另一个包调用请求，则添加选项是不可行的。在这种情况下，将证书添加到cacert包是直接的路径，例如，我必须添加“StartComClass1 Primary Intermediate Server CA”，为此我将根证书下载到StartComClass1.pem中。鉴于我的virtualenv被命名为caldav，我添加了证书:

cat StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/pip/_vendor/requests/cacert.pem
cat temp/StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/requests/cacert.pem

其中一个可能就够了，我没有检查