पायथन अनुरोध SSLError फेंक रहा है

मैं एक सरल स्क्रिप्ट पर काम कर रहा हूं जिसमें CAS, jspring सुरक्षा जांच, पुनर्निर्देशन, आदि शामिल है। मैं केनेथ रेइट्ज के अजगर अनुरोधों का उपयोग करना चाहूंगा क्योंकि यह बहुत अच्छा काम है! हालांकि, सीएएस को एसएसएल के माध्यम से मान्य होने की आवश्यकता है, इसलिए मुझे उस चरण को पहले प्राप्त करना होगा। मुझे नहीं पता कि पायथन अनुरोध क्या चाहता है? यह एसएसएल सर्टिफिकेट कहां का रहने वाला है?

Traceback (most recent call last):
  File "./test.py", line 24, in <module>
  response = requests.get(url1, headers=headers)
  File "build/bdist.linux-x86_64/egg/requests/api.py", line 52, in get
  File "build/bdist.linux-x86_64/egg/requests/api.py", line 40, in request
  File "build/bdist.linux-x86_64/egg/requests/sessions.py", line 209, in request 
  File "build/bdist.linux-x86_64/egg/requests/models.py", line 624, in send
  File "build/bdist.linux-x86_64/egg/requests/models.py", line 300, in _build_response
  File "build/bdist.linux-x86_64/egg/requests/models.py", line 611, in send
requests.exceptions.SSLError: [Errno 1] _ssl.c:503: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

आपके द्वारा की जा रही समस्या एक अविश्वसनीय एसएसएल प्रमाणपत्र के कारण है।

पिछली टिप्पणी में उल्लिखित @dirk की तरह, सबसे तेज़ फ़िक्स सेट हो रहा है verify=False:

requests.get('https://example.com', verify=False)

कृपया ध्यान दें कि इससे प्रमाण पत्र सत्यापित नहीं होगा। यह आपके एप्लिकेशन को सुरक्षा जोखिमों, जैसे कि मैन-इन-द-मिडिल हमलों को उजागर करेगा।

बेशक, निर्णय लागू करें। जैसा कि टिप्पणियों में उल्लेख किया गया है, यह त्वरित / थकाऊ अनुप्रयोगों / लिपियों के लिए स्वीकार्य हो सकता है, लेकिन वास्तव में उत्पादन सॉफ्टवेयर पर नहीं जाना चाहिए ।

यदि प्रमाण पत्र की जांच केवल आपके विशेष संदर्भ में स्वीकार्य नहीं है, तो निम्न विकल्पों पर विचार करें, आपका सबसे अच्छा विकल्प verifyपैरामीटर को एक स्ट्रिंग पर सेट .pemकरना है जो प्रमाण पत्र की फ़ाइल का पथ है (जिसे आपको किसी प्रकार की सुरक्षा प्राप्त करनी चाहिए। माध्यम)।

इसलिए, संस्करण 2.0 के अनुसार, verifyपैरामीटर निम्नलिखित मानों को उनके संबंधित शब्दार्थ के साथ स्वीकार करता है:

• True: लाइब्रेरी के अपने विश्वसनीय प्रमाणपत्र अधिकारियों के खिलाफ प्रमाण पत्र को मान्य करने का कारण बनता है (नोट: आप देख सकते हैं कि सर्टिफिकेट लाइब्रेरी के माध्यम से रूट सर्टिफिकेट अनुरोधों का उपयोग करता है, अनुरोधों से निकाले गए आरसी का एक ट्रस्ट डेटाबेस: सर्टिफिकेट - मानव के लिए ट्रस्ट डेटाबेस )।
• False: प्रमाण पत्र सत्यापन को पूरी तरह से बायपास करता है ।
• प्रमाणपत्रों को मान्य करने के लिए उपयोग करने के अनुरोधों के लिए एक CA_BUNDLE फ़ाइल का पथ।

स्रोत: अनुरोध - एसएसएल प्रमाणपत्र सत्यापन

एक certही लिंक पर पैरामीटर को भी देखें।

SSL सत्यापन पर अनुरोधों के प्रलेखन से :

अनुरोध HTTPS अनुरोधों के लिए SSL प्रमाणपत्र को एक वेब ब्राउज़र की तरह सत्यापित कर सकते हैं। होस्ट के SSL प्रमाणपत्र की जांच करने के लिए, आप सत्यापित तर्क का उपयोग कर सकते हैं:

>>> requests.get('https://kennethreitz.com', verify=True)

यदि आप अपने एसएसएल प्रमाणपत्र को सत्यापित नहीं करना चाहते हैं, तो बनाएं verify=False

आपके द्वारा उपयोग की जा सकने वाली CA फ़ाइल का नाम verify:

cafile = 'cacert.pem' # http://curl.haxx.se/ca/cacert.pem
r = requests.get(url, verify=cafile)

यदि आप उपयोग करते हैं verify=Trueतो requestsअपने स्वयं के CA सेट का उपयोग करता है जिसमें CA नहीं हो सकता है जो आपके सर्वर प्रमाणपत्र पर हस्ताक्षर करता है।

$ pip install -U requests[security]

• पायथन 2.7.6 @ Ubuntu 14.04.4 LTS पर परीक्षण किया गया
• पायथन 2.7.5 @ MacOSX 10.9.5 (मावेरिक्स) पर परीक्षण किया गया

जब यह प्रश्न खोला गया (2012-05) अनुरोध संस्करण 0.13.1 था। संस्करण 2.4.1 (2014-09) पर "सुरक्षा" एक्स्ट्रा को पेश किया गया था, certifiयदि उपलब्ध हो तो पैकेज का उपयोग करके ।

अभी (2016-09) मुख्य संस्करण 2.11.1 है, जो इसके बिना अच्छा काम करता है verify=False। एक्स्ट्रा के requests.get(url, verify=False)साथ स्थापित होने पर उपयोग करने की आवश्यकता नहीं है requests[security]।

मुझे एक ही मुद्दे का सामना करना पड़ा और ssl सर्टिफिकेट वेरिफाइड फेल हुआ जब aws boto3 का उपयोग करके समीक्षा की गई, boto3 कोड की समीक्षा करके, मैंने पाया कि REQUESTS_CA_BUNDLEयह सेट नहीं है, इसलिए मैंने इसे मैन्युअल रूप से सेट करके दोनों समस्या को ठीक किया:

from boto3.session import Session
import os

# debian
os.environ['REQUESTS_CA_BUNDLE'] = os.path.join(
    '/etc/ssl/certs/',
    'ca-certificates.crt')
# centos
#   'ca-bundle.crt')

Aws-cli के लिए, मुझे लगता है कि सेटिंग REQUESTS_CA_BUNDLE ~/.bashrcइस समस्या को ठीक कर देगा (परीक्षण नहीं किया गया क्योंकि मेरे aws-cli इसके बिना काम करता है)।

REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt # ca-bundle.crt
export REQUESTS_CA_BUNDLE

यदि आपके पास एक पुस्तकालय है जो निर्भर करता है requestsऔर आप सत्यापित पथ को संशोधित नहीं कर सकते (जैसे pyvmomi) तो आपको cacert.pemअनुरोधों के साथ बंडल ढूंढना होगा और वहां अपने सीए को जोड़ना होगा। यहाँ cacert.pemस्थान खोजने के लिए एक सामान्य तरीका है :

खिड़कियाँ

C:\>python -c "import requests; print requests.certs.where()"
c:\Python27\lib\site-packages\requests-2.8.1-py2.7.egg\requests\cacert.pem

linux

#  (py2.7.5,requests 2.7.0, verify not enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/lib/python2.7/dist-packages/certifi/cacert.pem

#  (py2.7.10, verify enforced)
root@host:~/# python -c "import requests; print requests.certs.where()"
/usr/local/lib/python2.7/dist-packages/requests/cacert.pem

btw। @ अनुरोध-देवों, अनुरोध के साथ अपने स्वयं के कैसर्ट को बांधना वास्तव में, वास्तव में कष्टप्रद है ... विशेष रूप से तथ्य यह है कि आप सिस्टम सीए स्टोर का उपयोग पहले नहीं करते हैं और यह कहीं भी प्रलेखित नहीं है।

अपडेट करें

उन स्थितियों में, जहां आप लाइब्रेरी का उपयोग कर रहे हैं और सीए-बंडल स्थान पर कोई नियंत्रण नहीं है, आप अपने होस्ट-वाइड सीए-बंडल को स्पष्ट रूप से सीए-बंडल स्थान सेट कर सकते हैं:

REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-bundle.crt python -c "import requests; requests.get('https://somesite.com';)"

मैं एक ही समस्या का सामना कर रहा हूँ, और मेरे लिए ये कमांड काम करता है:

sudo pip uninstall -y certifi
sudo pip install certifi==2015.04.28

यदि आप चेतावनी निकालना चाहते हैं, तो नीचे दिए गए कोड का उपयोग करें।

import urllib3

urllib3.disable_warnings()

और विधि या विधि के verify=Falseसाथrequest.getpost

मुझे इसी तरह के मुद्दे को हल करने के लिए एक विशिष्ट दृष्टिकोण मिला है। यह विचार प्रणाली पर संग्रहीत कैसर्ट फ़ाइल को इंगित कर रहा है और एक अन्य एसएसएल आधारित अनुप्रयोगों द्वारा उपयोग किया जाता है।

डेबियन में (मुझे यकीन नहीं है कि अगर अन्य वितरणों में भी ऐसा ही हो) तो सर्टिफिकेट फाइलें (.pem) /etc/ssl/certs/सो पर स्टोर हो जाती हैं , यह वह कोड है जो मेरे लिए काम करता है:

import requests
verify='/etc/ssl/certs/cacert.org.pem'
response = requests.get('https://lists.cacert.org', verify=verify)

किस pemफ़ाइल का चयन किया जाता है, इसका अनुमान लगाने के लिए , मैंने url में ब्राउज़ किया है और यह जांचा है कि प्रमाणपत्र प्राधिकारी (CA) ने प्रमाणपत्र बनाया है या नहीं।

संपादित करें: यदि आप कोड को संपादित नहीं कर सकते हैं (क्योंकि आप एक तीसरा ऐप चला रहे हैं) तो आप pemसीधे प्रमाण पत्र को जोड़ने की कोशिश कर सकते हैं /usr/local/lib/python2.7/dist-packages/requests/cacert.pem(जैसे इसे फ़ाइल के अंत में कॉपी करना)।

यदि आप प्रमाण पत्र के बारे में परेशान नहीं करते हैं तो बस उपयोग करें verify=False।

import requests

url = "Write your url here"

returnResponse = requests.get(url, verify=False)

डिबगिंग के घंटों के बाद मैं केवल निम्न पैकेजों का उपयोग करके इसे प्राप्त कर सकता था:

requests[security]==2.7.0  # not 2.18.1
cryptography==1.9  # not 2.0

का उपयोग करते हुए OpenSSL 1.0.2g 1 Mar 2016

इन पैकेजों के बिना verify=Falseकाम नहीं कर रहा था।

मुझे उम्मीद है इससे किसी को सहायता मिलेगी।

मैं उसी मुद्दे में भाग गया। यह बताता है कि मैंने अपने सर्वर पर मध्यवर्ती प्रमाणपत्र स्थापित नहीं किया था (बस इसे नीचे दिए गए प्रमाण पत्र के नीचे देखें)।

https://www.digicert.com/ssl-support/pem-ssl-creation.htm

सुनिश्चित करें कि आपके पास ca-प्रमाणपत्र पैकेज स्थापित है:

sudo apt-get install ca-certificates

समय का अद्यतन करना भी इसे हल कर सकता है:

sudo apt-get install ntpdate
sudo ntpdate -u ntp.ubuntu.com

यदि आप स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहे हैं, तो आपको संभवतः इसे अपने सिस्टम में मैन्युअल रूप से जोड़ना होगा।

यदि अनुरोध कॉल कोड में कहीं गहरे दबे हुए हैं और आप सर्वर प्रमाणपत्र स्थापित नहीं करना चाहते हैं, तो, केवल डिबग उद्देश्यों के लिए , यह केवल बंदरबांट अनुरोधों के लिए संभव है:

import requests.api
import warnings


def requestspatch(method, url, **kwargs):
    kwargs['verify'] = False
    return _origcall(method, url, **kwargs)

_origcall = requests.api.request
requests.api.request = requestspatch
warnings.warn('Patched requests: SSL verification disabled!')

उत्पादन में कभी उपयोग न करें!

पार्टी के लिए बहुत देर हो चुकी है, लेकिन मुझे लगता है कि मैं अपने जैसे साथी भटकने वालों के लिए फिक्स पेस्ट करना चाहता था! तो पायथन 3.7.x पर निम्नलिखित ने मेरे लिए काम किया

अपने टर्मिनल में निम्नलिखित टाइप करें

pip install --upgrade certifi      # hold your breath..

अपनी स्क्रिप्ट / अनुरोधों को फिर से चलाने का प्रयास करें और देखें कि क्या यह काम करता है (मुझे यकीन है कि यह अभी तक तय नहीं किया जाएगा!)। अगर यह काम नहीं करता तो सीधे टर्मिनल में निम्न कमांड चलाने का प्रयास करें

open /Applications/Python\ 3.6/Install\ Certificates.command  # please replace 3.6 here with your suitable python version

मैंने HOURS के लिए यह समस्या लड़ी।

मैंने अनुरोधों को अपडेट करने का प्रयास किया। फिर मैंने सर्टिफिकेट अपडेट किया। मैंने प्रमाणित करने के लिए सत्यापन को इंगित किया। () (कोड डिफ़ॉल्ट रूप से यह करता है)। कुछ भी काम नहीं किया।

अंत में मैंने अजगर के अपने संस्करण को अजगर को 2.7.11 पर अद्यतन किया। मैं पाइथन २..5.५ पर था, जिसके प्रमाण पत्र सत्यापित होने के तरीके के साथ कुछ असंगतताएं थीं। एक बार जब मैंने पायथन को अपडेट किया (और कुछ अन्य आश्रितों के लिए) ने काम करना शुरू कर दिया।

यह @ राफेल-अलमेडा के उत्तर के समान है, लेकिन मैं यह बताना चाहता हूं कि अनुरोधों के अनुसार 2.11+ में, 3 मान नहीं verifyहैं जो वास्तव में ले सकते हैं, वास्तव में 4 हैं:

• True: अनुरोधों के आंतरिक विश्वसनीय सीए के खिलाफ मान्य करता है।
• False: प्रमाण पत्र सत्यापन को पूरी तरह से बायपास करता है । (सिफारिश नहीं की गई)
• एक CA_BUNDLE फ़ाइल का पथ। अनुरोध इसका उपयोग सर्वर के प्रमाणपत्रों को मान्य करने के लिए करेंगे।
• सार्वजनिक प्रमाणपत्र फ़ाइलों वाली निर्देशिका का पथ। अनुरोध इसका उपयोग सर्वर के प्रमाणपत्रों को मान्य करने के लिए करेंगे।

मेरा बाकी का उत्तर # 4 के बारे में है, एक निर्देशिका का उपयोग कैसे करें प्रमाण पत्र को मान्य करने के लिए:

आवश्यक सार्वजनिक प्रमाणपत्र प्राप्त करें और उन्हें एक निर्देशिका में रखें।

कड़ाई से बोलते हुए, आपको संभवतः प्रमाणपत्र प्राप्त करने की एक आउट-ऑफ-द-बैंड विधि का उपयोग करना चाहिए, लेकिन आप केवल अपने ब्राउज़र का उपयोग करके उन्हें भी डाउनलोड कर सकते हैं।

यदि सर्वर एक प्रमाणपत्र श्रृंखला का उपयोग करता है, तो श्रृंखला में प्रत्येक एकल प्रमाण पत्र प्राप्त करना सुनिश्चित करें।

अनुरोधों के दस्तावेज़ीकरण के अनुसार, प्रमाण-पत्र वाली निर्देशिका को पहले "रेहश" उपयोगिता ( openssl rehash) के साथ संसाधित किया जाना चाहिए ।

(इसके लिए Opensl 1.1.1+ की आवश्यकता होती है, और सभी विंडोज के खुलने के कार्यान्वयन rehash का समर्थन openssl rehashनहीं करते हैं । यदि आपके लिए काम नहीं करेगा, तो आप https://github.com/ruby/openssl/nlob/master पर rehash माणिक स्क्रिप्ट चलाने का प्रयास कर सकते हैं। /sample/c_rehash.rb , हालांकि मैंने यह कोशिश नहीं की है।)

मुझे अपने प्रमाणपत्रों को पहचानने के अनुरोध प्राप्त करने में थोड़ी परेशानी हुई, लेकिन मैंने openssl x509 -outform PEMआदेशों को आधारों को बेस 64 .pemप्रारूप में बदलने के लिए उपयोग करने के बाद , सब कुछ पूरी तरह से काम किया।

तुम भी आलसी rehashing कर सकते हैं:

try:
    # As long as the certificates in the certs directory are in the OS's certificate store, `verify=True` is fine.
    return requests.get(url, auth=auth, verify=True)
except requests.exceptions.SSLError:
    subprocess.run(f"openssl rehash -compat -v my_certs_dir", shell=True, check=True)
    return requests.get(url, auth=auth, verify="my_certs_dir")

वर्तमान में अनुरोध मॉड्यूल में इस समस्या के कारण एक समस्या है, जो v2.6.2 से v2.12.4 (ATOW) में मौजूद है: https://github.com/kennethreitz/requests/issues/2573

इस समस्या के लिए समाधान निम्न पंक्ति जोड़ रहा है: requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS'

जैसा कि @ राफेल अल्मेडा ने उल्लेख किया है, आपके पास समस्या एक अविश्वसनीय एसएसएल प्रमाणपत्र के कारण है। मेरे मामले में, एसएसएल प्रमाणपत्र मेरे सर्वर द्वारा अविश्वासित था। सुरक्षा से समझौता किए बिना इसे प्राप्त करने के लिए, मैंने प्रमाणपत्र डाउनलोड किया , और इसे सर्वर पर स्थापित किया (केवल .crt फ़ाइल पर डबल क्लिक करके और फिर प्रमाणपत्र स्थापित करें ...)।

यदि अन्य पैकेज से अनुरोध किया जा रहा है तो विकल्प जोड़ना संभव नहीं है। उस मामले में कैसर्ट बंडल में प्रमाण पत्र जोड़ना सीधा रास्ता है, उदाहरण के लिए मुझे "StartCom Class 1 Primary Intermediate Server CA" को जोड़ना था, जिसके लिए मैंने StartComClass1.pem में रूट सर्टिफिकेट डाउनलोड किया। दिए गए मेरे virtualenv को caldav नाम दिया गया है, मैंने इसके साथ प्रमाणपत्र जोड़ा:

cat StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/pip/_vendor/requests/cacert.pem
cat temp/StartComClass1.pem >> .virtualenvs/caldav/lib/python2.7/site-packages/requests/cacert.pem

उनमें से एक पर्याप्त हो सकता है, मैंने जांच नहीं की

मुझे एक समान या एक ही प्रमाणीकरण सत्यापन समस्या हो रही थी। मैंने पढ़ा कि ओपनएसएसएल संस्करण 1.0.2 से कम हैं, जो अनुरोधों पर निर्भर करता है कि कभी-कभी मजबूत प्रमाणपत्रों को सत्यापित करने में परेशानी होती है ( यहां देखें )। CentOS 7 का उपयोग करने के लिए लगता है 1.0.1e जो समस्या है लगता है।

मुझे यकीन नहीं था कि CentOS पर इस समस्या को कैसे हल किया जा सकता है, इसलिए मैंने कमजोर 1024bit CA प्रमाणपत्रों की अनुमति देने का निर्णय लिया।

import certifi # This should be already installed as a dependency of 'requests'
requests.get("https://example.com", verify=certifi.old_where())

मुझे पायथन 3.4.0 से 3.4.6 तक अपग्रेड करना पड़ा

pyenv virtualenv 3.4.6 myvenv
pyenv activate myvenv
pip install -r requirements.txt

मेरे मामले में कारण काफी तुच्छ था।

मुझे पता था कि एसएसएल सत्यापन ने कुछ दिन पहले तक काम किया था, और एक अलग मशीन पर काम कर रहा था।

मेरा अगला चरण उस मशीन के बीच प्रमाणपत्र सामग्री और आकार की तुलना करना था, जिस पर सत्यापन कार्य कर रहा था, और जिस पर वह नहीं था।

इसने मुझे जल्दी से यह निर्धारित करने के लिए प्रेरित किया कि 'गलत तरीके से' काम करने वाली मशीन पर प्रमाणपत्र अच्छा नहीं था, और एक बार जब मैंने इसे 'अच्छे' प्रमाण पत्र के साथ बदल दिया, तो सब कुछ ठीक था।