手把手教你为Python requests配置SSL证书（Windows/Mac/Linux全平台）

最新推荐文章于 2026-06-24 16:16:10 发布

原创

最新推荐文章于 2026-06-24 16:16:10 发布 · 256 阅读

标签

#Python #SSL证书 #网络安全 #上位机

跨平台Python HTTPS请求的终极安全配置：从临时禁用走向企业级证书管理

最近在帮一个做工业数据采集的朋友调试他的上位机软件，他那个Python脚本在工厂内网里死活连不上供应商的云平台，一直报SSL证书错误。他试了网上最常见的“临时禁用验证”大法，代码是能跑了，但被我狠狠说了一顿——在工业控制环境里，这种操作无异于敞开大门让数据裸奔。这个经历让我意识到，很多Python开发者，尤其是做上位机、数据采集的朋友，对HTTPS证书验证的理解还停留在“有问题就关掉”的初级阶段。

实际上，SSL/TLS证书验证是HTTPS安全的基石，它确保你连接的是真正的目标服务器，而不是某个中间人伪装的钓鱼站点。在金融交易、工业控制、医疗数据等场景下，证书验证失败往往意味着更深层的网络配置或安全问题，简单粗暴地禁用验证只会埋下隐患。

本文将带你深入理解Python requests库在不同操作系统下的证书验证机制，并提供一套从开发到生产环境的完整解决方案。无论你是Windows上的上位机开发者，还是Linux服务器上的运维工程师，都能找到适合自己场景的配置方法。

1. 理解Python的证书验证机制：不只是requests的事

很多人以为SSL证书验证只是requests库的功能，其实不然。Python的证书验证涉及多个层次，理解这个层次结构是解决问题的关键。

1.1 证书验证的三层架构

Python的HTTPS请求验证可以看作一个三层系统：

应用层 (requests/urllib3) → 中间层 (certifi/ssl) → 系统层 (操作系统证书库)

应用层是我们最熟悉的requests库。当你调用requests.get(url)时，requests会委托底层的urllib3处理实际的HTTP连接。

中间层是Python的ssl模块和certifi包。ssl模块提供了SSL/TLS协议的实现，而certifi包则提供了一个默认的证书捆绑包（CA certificates bundle），里面包含了Mozilla维护的可信根证书列表。

系统层是操作系统自带的证书存储。在Windows上是证书存储区，在macOS上是钥匙串，在Linux上是/etc/ssl/certs/目录。

关键点：requests默认使用certifi的证书包，而不是系统证书库。这就是为什么有时候系统浏览器能正常访问的网站，Python脚本却报证书错误。

1.2 certifi包的工作原理

certifi是一个轻量级的Python包，它做的事情很简单：提供一个cacert.pem文件，里面包含了当前Mozilla认为可信的根证书。你可以通过以下代码查看它的位置：

import certifi
print(certifi.where())

在我的macOS上，输出是：

/usr/local/lib/python3.9/site-packages/certifi/cacert.pem

这个文件大概有200KB，包含了100多个根证书。requests库在初始化时会加载这个文件，用于验证服务器证书的签名链。

1.3 常见的证书错误类型

遇到SSL错误时，先别急着禁用验证，分清错误类型很重要：

错误类型	典型错误信息	可能原因	解决方案
证书链不完整	`SSL: CERTIFICATE_VERIFY_FAILED`	服务器没有发送完整的证书链	让服务器配置正确的证书链
根证书不受信	`unable to get local issuer certificate`	签发证书的CA不在信任列表中	添加该CA证书到信任库
证书过期	`certificate has expired`	服务器证书已过期	更新服务器证书
主机名不匹配	`hostname doesn't match`	证书中的域名与实际访问域名不符	使用正确域名或禁用主机名验证
自签名证书	`self signed certificate`	证书不是由可信CA签发	手动信任该证书

2. Windows平台：从临时方案到永久配置

Windows环境下的证书管理有其特殊性，特别是对于使用Anaconda或直接安装Python的用户。

2.1 临时解决方案的利与弊

网上最常见的Windows解决方案是这样的：

import ssl
import requests

# 临时禁用SSL验证（不推荐在生产环境使用）
ssl._create_default_https_context = ssl._create_unverified_context

response = requests.get("https://example.com")

为什么我不推荐这个方法？

安全风险：禁用验证后，你的脚本可能连接到钓鱼网站
影响范围广：这个设置会影响当前Python进程中所有的HTTPS请求
掩盖真正问题：证书错误往往是网络配置或服务器问题的信号

只有在开发环境、测试内部服务，且完全确定网络环境安全的情况下，才考虑使用这个临时方案。

2.2 永久解决方案：安装证书到系统存储

对于需要长期稳定运行的上位机软件，正确的方法是安装证书到Windows证书存储。

步骤1：获取证书文件

如果你需要信任的是特定网站（如公司内部API），可以从浏览器导出证书：

用Chrome/Edge访问目标网站
点击地址栏的锁形图标 → "连接是安全的" → "证书"
在证书对话框中，切换到"证书路径"标签
选择最顶层的根证书，点击"查看证书"
在详细信息标签中，点击"复制到文件"，选择"Base64编码的X.509(.CER)"

如果你需要的是通用根证书（解决访问GitHub、PyPI等公共网站的问题），可以直接下载Mozilla的证书包：

# 使用PowerShell下载
curl -O https://curl.se/ca/cacert.pem

步骤2：安装到系统证书存储

对于单个证书（.crt或.cer文件）：

右键证书文件 → "安装证书"
选择"本地计算机"（需要管理员权限）
选择"将所有证书放入下列存储" → "浏览"
选择"受信任的根证书颁发机构" → 确定

对于证书包（cacert.pem），需要先拆分成单个证书再安装。可以使用OpenSSL：

# 安装OpenSSL（如果尚未安装）
# 可以从 https://slproweb.com/products/Win32OpenSSL.html 下载

# 拆分pem文件为多个crt文件
openssl crl2pkcs7 -nocrl -certfile cacert.pem | openssl pkcs7 -print_certs -out certs.crt

# 然后按照上述步骤安装certs.crt

步骤3：让Python使用系统证书存储

默认情况下，Python不使用系统证书存储。我们需要告诉它使用系统存储：

import os
import ssl
import certifi

# 方法1：设置环境变量（推荐）
os.environ['REQUESTS_CA_BUNDLE'] = ssl.get_default_verify_paths().cafile

# 方法2：直接修改requests使用的证书包路径
import requests.utils
requests.utils.DEFAULT_CA_BUNDLE_PATH = ssl.get_default_verify_paths().cafile

# 验证是否生效
print("系统证书路径:", ssl.get_default_verify_paths().cafile)
# 通常输出：C:\Windows\System32\certs\ca-bundle.crt 或类似路径

2.3 企业环境下的特殊配置

在Windows域环境中，证书管理可能由组策略控制。如果你的脚本在域环境下运行异常，可以检查：

中间人证书：企业防火墙可能安装了自签名CA证书进行流量审查
证书自动更新：域控制器可能推送了新的根证书
证书吊销列表：企业可能启用了CRL检查

对于企业中间人证书，需要联系IT部门获取证书文件，然后按照上述方法安装到"受信任的根证书颁发机构"。

3. macOS平台：钥匙串与Python的协同工作

macOS的证书管理通过"钥匙串访问"应用完成，这套系统相对Windows更加统一，但也有些独特的坑。

3.1 理解macOS的证书信任链

在macOS上，证书存储在两个地方：

系统钥匙串：/Library/Keychains/System.keychain
用户钥匙串：~/Library/Keychains/login.keychain

系统钥匙串需要管理员权限修改，影响所有用户。用户钥匙串只影响当前用户。

Python在macOS上默认使用系统证书，但行为因Python安装方式而异：

Python安装方式	默认证书源	备注
系统自带Python	系统钥匙串	macOS 10.15+ 有额外限制
Homebrew安装	自带的certifi	独立于系统证书
Anaconda安装	conda环境的certifi	完全独立

3.2 安装证书到钥匙串

对于单个网站证书：

# 下载证书（以GitHub为例）
openssl s_client -connect github.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -outform PEM > github.pem

# 导入到系统钥匙串（需要sudo）
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain github.pem

# 导入到当前用户钥匙串
security add-trusted-cert -d -r trustRoot -k ~/Library/Keychains/login.keychain github.pem

对于证书包：

# 下载Mozilla证书包
curl -O https://curl.se/ca/cacert.pem

# 拆分并导入（需要编写脚本处理）
# 可以使用以下Python脚本

import subprocess
import tempfile
import os

def install_certificates_from_bundle(pem_file):
    """将PEM证书包中的所有证书安装到系统钥匙串"""
    
    with open(pem_file, 'r'

最低0.47元/天解锁文章