如何修复由ssl包生成并在restAPIs中使用的ssl_certification错误？

Question

我正在从vCenter 6.5下载SSL证书，并在下面的文件中复制证书。

cert = ssl.get_server_certificate((server, port))

with open(file_name, "w") as outfile:
   outfile.write(cert)

稍后，当我在restAPI中使用file_name时，将获得错误[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:618)

我试图交叉验证Shell中的证书，但得到了以下错误

# openssl verify -verbose -CAfile file_name file_name 
file_name: CN = pn-a26-ub-15-7-vc.cisco.com, C = US
error 20 at 0 depth lookup:unable to get local issuer certificate

谁能帮忙生成证书时出了什么问题吗？

Answer 1

通过-CAfile参数传递的文件应该包含用于颁发待验证证书的根(如果有中间的话)证书。您似乎正在传递服务器证书本身。

如果这是一个CA签名的证书，您可以省略-CAfile参数。如果没有，您应该提供PEM格式的发行者链。据我所知，vCenter使用自签名证书。您可以使用描述的这里方法下载根证书。