pip: cert a échoué, mais curl fonctionne

Nous avons installé à la racine de notre cert sur le client, et la connexion https fonctionne pour curl.

Mais si nous essayons de l'utiliser pip, il échoue:

Could not fetch URL https://installserver:40443/pypi/simple/pep8/:
There was a problem confirming the ssl certificate: 
<urlopen error [Errno 1] _ssl.c:499: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed>

Le cert est sur le client. Voir:

(foo_fm_qti)foo_fm_qti@vis-work:~$ curl -v https://installserver:40443/pypi/simple/pep8/
* About to connect() to installserver port 40443 (#0)
*   Trying 127.0.0.1... connected
* Connected to installserver (127.0.0.1) port 40443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
CApath: /etc/ssl/certs/
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS alert, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: C=DE; ST=Sachsen; L=Chemnitz; O=FOO-COM GmbH; OU=DV; CN=gray.foo-com.lan; emailAddress=info@foo-com.de
*    start date: 2013-09-09 10:47:50 GMT
*    expire date: 2019-05-24 10:47:50 GMT
*    subjectAltName: installserver matched
*    issuer: C=DE; ST=Sachsen; L=Chemnitz; O=FOO-COM GmbH; CN=FOO-COM Root CA; emailAddress=info@foo-com.de
*    SSL certificate verify ok.
> GET /pypi/simple/pep8/ HTTP/1.1

Version: pip 1.4.1

InformationsquelleAutor guettli | 2013-10-15
  1. 36

    Malheureusement pip ne pas utiliser le système certs, mais curl n'.

    J'ai trouvé une solution:

    pip --cert /etc/ssl/certs/FOO_Root_CA.pem install pep8

    Ce n'est pas agréable (curl et les autres bibliothèques de trouver le cert sans l'ajout d'un paramètre), mais fonctionne.

    Si vous ne souhaitez pas utiliser l'argument de ligne de commande, vous pouvez définir le cert ~/.pip/pip.conf:

    [global]
cert = /etc/ssl/certs/Foo_Root_CA.pem
    • +1 l' --cert argument n'a pas de travail pour moi, mais le fichier de configuration de la solution a (OS X, d'installation anaconda)
    • Essayez ceci: stackoverflow.com/a/28724886/41957
    InformationsquelleAutor guettli
  2. 21

    Ma solution est de télécharger cacert.pem de http://curl.haxx.se/ca/cacert.pem
    et ajouter le chemin d'accès pour cacert.pem à ~/.pip/pip.conf comme guettli suggéré

    [global]
cert = /path/to/cacert.pem
    • J'ai mis ceci dans /etc/pip.conf (le certificat est /etc/ssl/certs/DigiCert_High_Assurance_EV_Root_ca.pem) et cela fonctionne pour tous les utilisateurs maintenant
    • L'URL est maintenant curl.haxx.se/ca/cacert.pem
    InformationsquelleAutor user2200896
  3. 4

    J'utilise:

    export PIP_CERT=`python -m pip._vendor.requests.certs`
pip install pep8

    PIP toujours valide le certificat de connexions HTTPS (et tous les pypi paquets de redirection vers HTTPS).

    L'algorithme pour la détermination de la CA de fichier est basé sur 3 étapes:

    1. Regarder dans une liste d'emplacements par défaut pour les différentes distributions linux
      (dans mon cas, ce fichier s'est avéré pour être mis à jour, comme je l'ai fais construire sur un très vieux distribution linux)
    2. Si disponible, remplacer la valeur trouvée dans (1) à partir d'une valeur de pip.fichier conf, l'environnement ou la ligne de commande (dans cet ordre),
    3. Si les deux (1) et (2) n'a pas conduit à une valeur, utiliser un fichier empaqueté

    Noter que pep ne pas utiliser le SSL par défaut des répertoires et des fichiers (à partir de ssl.get_default_verify_paths()). Mais ne prend en charge groupés CA fichier.

    PIP prend en charge une action en ligne de commande pour lister les fichier empaqueté à partir de l'étape 3 et c'est ce que j'utilise pour cette réponse.

    • Pourquoi le pip install pep8 ligne nécessaire?
    • C'est juste un exemple, je l'ai pris de l'autre réponse
    • Oh, désolé, c'était vendredi soir. Le temps d'un week-end 🙂
    InformationsquelleAutor arjenve
  4. 3

    Pour moi, aucun des config-file des solutions de contournement travaillé. Je suis en utilisant pip 1.5.4 sur Ubuntu 14.04

    La commande posté par @arjenve ne fonctionne pas sur mon système. J'obtiens: /usr/bin/python: No module named _vendor.requests

    Mise à JOUR

    Une solution encore meilleure que ma première solution est d'installer le certificat sur le système (pour moi sur ubuntu ce serait)

    sudo cp ~/my_cert.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

    La précédente met automatiquement à jour le fichier bundle (à vérifier au bas de /etc/ssl/certs/ca-certificates.crt vous devriez maintenant voir le même certificat que dans my_cert.crt)

    Maintenant à l'exportation que son chemin d'accès dans PIP_CERT et l'ajouter à votre .bashrc:

    echo export PIP_CERT=/etc/ssl/certs/ca-certificates.crt >> ~/.bashrc

    ÂGÉES SOLUTION DE CONTOURNEMENT

    Ma solution a été de créer un fichier de regroupement de /etc/ssl/certs/ca-certificates.crt et mon entreprise crt (juste concaténés les deux fichiers). Et puis exporter une variable (le mettre sur mon .bashrc) comme ceci:

    export PIP_CERT=/my/path/to/the/bundle.crt
    • Fonctionne aussi sur Ubuntu 16.04 LTS
    InformationsquelleAutor andzep