此页是谷歌中“证书验证失败:无法获得本地颁发者证书”的最高点击率，因此，虽然这没有直接回答最初的问题，但下面是对具有相同症状的问题的修复。我在尝试将TLS添加到xmlrpc服务时遇到了这个问题。这需要使用相当低级的ssl。SSLContext类。该错误表示缺少证书。修复方法是在构造SSLContext对象时做几件事:

首先，在客户端:

def get_client():
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    # Load the default certs:
    context.load_default_certs()

    # Optionally, install the intermediate certs.
    # This _should_ be handled by the server, but
    # maybe helpful in some cases.
    # context.load_verify_locations('path/to/ca_bundle.crt')
    return xmlrpc.client.ServerProxy('https://server.yourdomain.com/', context=context)

在服务器端，你需要在上下文中安装中间的certs:

class SecureXMLRPCServer(socketserver.TCPServer, 
        xmlrpc.server.SimpleXMLRPCDispatcher):
    # https://gist.github.com/monstermunchkin/1100226
    allow_reuse_address = True

    def __init__(self, addr, certfile, keyfile=None,
            ca_bundle=None,
            requestHandler=xmlrpc.server.SimpleXMLRPCRequestHandler,
            logRequests=True, allow_none=False, encoding=None, 
            bind_and_activate=True, ssl_version=ssl.PROTOCOL_TLSv1_2):
        self.logRequests = logRequests

        # create an SSL context
        self.context = ssl.SSLContext(ssl_version)
        self.context.load_default_certs()

        # The server is the correct place to load the intermediate CA certificates:
        self.context.load_verify_locations(ca_bundle)
        self.context.load_cert_chain(certfile=certfile, keyfile=keyfile)

        xmlrpc.server.SimpleXMLRPCDispatcher.__init__(self, allow_none, 
                encoding)
        # call TCPServer constructor
        socketserver.TCPServer.__init__(self, addr, requestHandler, 
                bind_and_activate)

        if fcntl is not None and hasattr(fcntl, 'FD_CLOEXEC'):
            flags = fcntl.fcntl(self.fileno(), fcntl.F_GETFD)
            flags |= fcntl.FD_CLOEXEC
            fcntl.fcntl(self.fileno(), fcntl.F_SETFD, flags)

    def get_request(self):
        newsocket, fromaddr = self.socket.accept()
        # create an server-side SSL socket
        sslsocket = self.context.wrap_socket(newsocket, server_side=True)
        return sslsocket, fromaddr

这适用于所有的操作系统:

import ssl
import certifi
from urllib.request import urlopen

request = "https://example.com"
urlopen(request, context=ssl.create_default_context(cafile=certifi.where()))

对我来说，问题是我在我的.bash_profile中设置了REQUESTS_CA_BUNDLE

/Users/westonagreene/.bash_profile:
...
export REQUESTS_CA_BUNDLE=/usr/local/etc/openssl/cert.pem
...

一旦我将REQUESTS_CA_BUNDLE设置为空白(即从.bash_profile中删除)，请求就会再次工作。

export REQUESTS_CA_BUNDLE=""

该问题仅在通过CLI(命令行接口)执行python请求时出现。如果我运行请求。get(URL, CERT)它解决得很好。

Mac OS Catalina(10.15.6)。 3.6.11的Pyenv。 我正在获得的错误消息:[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获得本地颁发者证书(_ssl.c:1056)

这个答案在其他地方:https://stackoverflow.com/a/64152045/4420657

在我的例子中，这个错误的原因是OPENSSLDIR被设置为一个不包含实际证书的路径，可能是由于一些升级/重新安装造成的。

要验证这一点，如果这可能是你的情况，试着运行:

openssl s_client -CApath /etc/ssl/certs/ -connect some-domain.com:443

如果您删除了-CApath /etc/ssl/certs/并得到一个20的错误代码，那么这可能是原因。您也可以通过执行openssl version -a命令查看OPENSSLDIR设置为什么。

由于修改OPENSSLDIR需要重新编译，我发现最简单的解决方案就是在现有路径中创建一个符号链接:ln -s /etc/ssl/certs your-openssldir/certs

我愿意提供一份参考资料。我使用cmd +空格，然后键入Install Certificates.command，然后按Enter。过了一会儿，弹出命令行界面开始安装。

 -- removing any existing file or link
 -- creating symlink to certifi certificate bundle
 -- setting permissions
 -- update complete

最后，它修复了错误。

警告:我对证书不是很了解，但我认为这值得尽早检查。

在花时间重新配置代码/包/系统之前，请确保您试图下载的服务器没有问题。

我认为这个错误可能会产生误导，因为“无法获得本地发行者证书”看起来好像是本地机器出了问题，但事实未必如此。

尝试将您正在尝试加载的页面更改为可能不错的页面，例如https://www.google.com，然后查看问题是否仍然存在。此外，使用https://www.digicert.com/help/上的搜索工具检查出问题的域名。

在我的例子中，DigiCert的工具告诉我“证书不是由受信任的权威签署的(根据Mozilla的根存储进行检查)。”这就解释了为什么我似乎已经安装了根证书，但仍然出现错误。当我测试用HTTPS加载一个不同的网站时，我没有遇到任何问题。

如果这种情况适用于你，那么我认为你可能有3个逻辑选项(按优先级排序):1)修复服务器(如果它在你的控制之下)，2)禁用证书检查，同时继续使用HTTPS, 3)跳过HTTPS转到HTTP。