Python/Requests/SSL — как заставить работать сертификаты?

Question

[776166]

Нужно сделать из питона requests.POST на сайт с https. Без ssl не работает, предлагать verify=False не надо.Запрос через curl с Мака проходит, видимо, там с сертификатами всё в порядке. С сервера Ubuntu curl проходит, а вот питон затыкается. С десктопа ubuntu даже curl не проходит.

Выкурил пачку мануалов, но ничего не помогает. Установленный и обновлённый certifi и адрес к сертификату, что он выдаёт, не помогает.
Как это правильно настраивать?

Answer 1

[ky0]

Так это...ошибка-то какая? Если просто невозможно подтвердить подлинность - накатывайте более свежую версию ca-certificates на машину, откуда запрос не проходит.

Comments

[776166]

Например: вот такая:

OpenSSL.SSL.Error: [('PEM routines', 'get_name', 'no start line'), ('SSL routines', 'SSL_CTX_use_PrivateKey_file', 'PEM lib')]

[ky0]

776166, а в случае с кёрлом?

[CityCat4]

776166, Ошибка-то где?

[776166]

ky0, curl ошибки не даёт. Запрос проходит, но тамошний сервер отлупляется с ошибкой 400 без комментариев. С мака точно такой же curl проходит.

[776166]

Я вот подумал, а нельзя использовать сертификат от letsencrypt, который уже есть^ и который выпущен для сайта, с которого должны выполняться запросы?

Answer 2

[CityCat4]

Если с verify=false проходит, значит опять ошибка неизвестного издателя. Если бы здесь был фак, этот вопрос уже стоило бы в него занести - потому что на эти грабли встают все. Сертификат самоподписанный?

Comments

[ky0]

Да вряд ли. Видите, с мака и другой убунты-то работает...

[776166]

Я даже не очень понимаю, какой сертификат нужен. Из certifi не работает. Самоподписанные тоже не работают, но с другой ошибкой.

[CityCat4]

776166, Так с какой ошибкой-то?

[776166]

Вот такие ошибки ещё бывают.
requests.exceptions.SSLError: HTTPSConnectionPool(host='api.site.com, port=443): Max retries exceeded with url: /api/v1/foo/attachments (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

Меня очень огорчает, что certifi не срабатывает.

[CityCat4]

776166, Ну понятно, проверка сертификата не проходит. openssl verify certfile.crt
и читать маны до тех пор пока верификация сертфииката не пройдет. А не проходит она скорее всего из-за неизвестного издателя :)