Python 上的 ssl 提示验证失败，有什么办法深究具体失败的原因么？

错误提示是这样：

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/python2.7/ssl.py", line 1007, in get_server_certificate
    with closing(context.wrap_socket(sock)) as sslsock:
  File "/usr/lib/python2.7/ssl.py", line 353, in wrap_socket
    _context=self)
  File "/usr/lib/python2.7/ssl.py", line 601, in __init__
    self.do_handshake()
  File "/usr/lib/python2.7/ssl.py", line 830, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

证书是自签的，代码没变过，以前的是用的自根证签一个服务器端和一个客户端的证书，代码完全没问题（代码是我们用来测试客户端和服务器端通讯，同时测试服务器端证书正确的）用了一年多了。最近更新服务器端，所以公司觉得用我们另外一个专门的自签根证书签了一个专门用这个项目的中级 CA 证书，然后签了服务器和客户端的证书。然后这个测试代码就提示前面的错误了

感觉有可能是 ssl 的版本问题，也有可能是中级 CA 的问题，但是证书本身没有问题（客户端和服务器端可以正常链接）我现在想了解下如何纠错呢？有什么好办法修复这个问题？

fzleee

2017-04-01 09:23:44 +08:00

我看到你的报错信息里面显示 get_server_certificate 的时候显示 certificate verify failed ，我还是怀疑和证书链相关。如果你不介意，可不可以执行下这个命令？将 baidu.com 替换为你的服务器

===============
openssl s_client -connect www.baidu.com:443 -showcerts
===============

SharkIng

2017-04-01 13:02:35 +08:00

@vPlusSign1 #3 测试代码主要的目的就是确定客户端和服务器端证书的可用性，这个了之后不就完全没用了？

@lovedebug #5 算是吧

@fzleee #6 好的我试试，您的意思是可能是服务器端部分证书不完整么？我前面说的 CA 放一起主要是客户端的了。

fzleee

2017-04-01 13:41:41 +08:00

@SharkIng 或者中间证书以及服务圈证书的顺序弄反了呢？

至少从异常日志里面能够看到最直观的问题就是`certificate verify failed`。
因此我能够猜想可能的原因无非就是
1. 服务器端的问题，比如服务器个返回的证书链不全 /错误。
2. 客户端问题，客户端不信任这个自签的根证书。
3. SNI 的问题？（这个可能性比较小）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/351881