pip 总是无法通过 ssl 验证
Posted
技术标签:
【中文标题】pip 总是无法通过 ssl 验证【英文标题】:pip always fails ssl verification 【发布时间】:2018-08-25 18:14:58 【问题描述】:即使我使用pip install dedupe
或pip install --trusted-host pypi.python.org dedupe
,Pip 总是失败 ssl
无论如何输出总是一样的:
收集重复数据删除
重试(重试(总数=4,连接=无,读取=无, redirect=None, status=None)) 连接中断后 'SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] 证书 验证失败 (_ssl.c:777)'),)': /simple/dedupe/ 正在重试...
跳过
找不到满足重复数据删除要求的版本(来自版本:)没有找到重复数据删除的匹配分布
所以我卸载了 anaconda 并重新安装了它。一样的。
您认为问题在于我的 _ssl.c 文件(我不知道它在哪里)一定是损坏的还是什么?如果我告诉它绕过 ssl 验证,为什么 pip 需要引用它?
【问题讨论】:
看起来类似于***.com/questions/41691327/…,但我在windows机器上 【参考方案1】:可能与PyPI的2018 changedomains有关。 请确保您的防火墙/代理允许访问/来自:
pypi.org files.pythonhosted.org所以你可以尝试一下:
$ python -m pip
install
--trusted-host files.pythonhosted.org --trusted-host pypi.org --trusted-host pypi.python.org [--proxy ...] [--用户]<packagename>
请参阅$ pip help install
了解--user
选项说明(如果在 virtualenv 中则省略)。--trusted-host
选项实际上并没有绕过 SSL/TLS,但允许在(且仅当)它没有有效(或任何)HTTPS 时将主机标记为受信任。与 PiPY 无关,因为 pypi.org(以前的 pypi.python.org)确实使用 HTTPS,并且前面有 CDN,无论连接如何,它始终强制执行 TLSv1.2 握手要求pip 客户端选项.. 但是,如果您有自己的 pypi.org 本地镜像,并且只能访问 HTTP,那么 --trusted-host
可能会很方便。哦,如果您使用代理,请务必同时指定:--proxy [user:passwd@]proxyserver:port
一些公司代理甚至可以在运行中使用 HTTPS 连接证书replace。如果您的系统时钟不同步,也可能会破坏 SSL 验证过程。
如果防火墙/代理/时钟没有问题,请检查 pip 的 SSL 握手中使用的 SSL 证书。事实上,你可以得到一个当前的cacert.pem(来自curl 的Mozilla 的CA 包)并使用pip 选项--cert
进行尝试:
$ pip --cert ~/cacert.pem install --user <packagename>
其中--cert
参数是PEM 格式的备用CA 包的系统路径。 (关于 --user 选项,请参见下文)。 或者,可以创建自定义配置 ~/.pip/pip.conf 并将选项指向有效的系统证书(或您的 cacert.pem)作为解决方法,例如:[global]证书 = /etc/pki/tls/external-roots/ca_bundle.pem (或其他 pem 文件)
甚至可以将 pip 中的原始 cacert.pem 手动替换为您可信赖的 CA 包(例如,如果您的 pip 非常旧)。如果出现证书问题,较旧的 pip 版本知道在 pip/_vendor/requests/cacert.pem 和 /etc/ssl/certs/ca-certificates.crt
或 /etc/pki/tls/certs/ca-bundle.crt
等系统存储之间回退,但在最近的 pip 中不再是这种情况,因为它似乎完全依赖pip/_vendor/certifi/cacert.pem
基本上,pip 包使用requests
,它使用urllib3
,其中包括验证 SSL 证书;并且所有这些都在 pip 中发货(供应),以及提供 TLS 验证所需的当前 CA 包(cacert.pem 文件)的certifi
包(自 pip 9.0.2 起也包括在内)。 Requests 本身在内部使用 urllib3 和 certifi,而在 9.0.2 之前,pip 使用的是来自 requests 或系统的 cacert.pem。这意味着实际更新 pip 可能有助于修复 CERTIFICATE_VERIFY_FAILED 错误,尤其是在很久以前部署操作系统和 pip 的情况下:
OP 使用 anaconda,所以他们可以尝试:$ conda update pip
- 因为如果 conda 和 pip
在同一环境中一起使用,issues can arise。如果没有可用的 pip 版本更新,他们可以尝试:$ conda config --add channels conda-forge; conda update pip
或者,可以单独使用conda 直接安装/管理python 包:它是一个完全独立于pip 的工具,但在包和venv 管理方面提供了类似的功能。它的包不是来自 PyPI,而是来自anaconda's own repositories。
问题是,如果您将两者混合并在pip
之后运行 conda,则前者可以覆盖和破坏通过 pip 安装的包(及其依赖项),并使其全部无法使用。因此,建议只使用一个或另一个,或者,如果必须,只在 conda 之后使用 pip(并且在 pip 之后不使用 conda),并且只能在孤立的 conda 中使用环境。
在没有 conda 的普通 Linux Python 安装上:
如果您使用操作系统发行版提供的 pip 版本,请使用供应商提供的升级来进行系统范围的 pip 更新:$ sudo apt-get install python-pip
或:$ sudo yum install python27-pip
某些更新可能不容易获得,因为发行版通常落后于 PyPI。在这种情况下,可以在您的用户级别(就在您的 $HOME 目录中)或在 virtualenv 中升级 pip,例如:$ python -m pip install --user --trusted-host files.pythonhosted.org --trusted-host pypi.org --trusted-host pypi.python.org --upgrade pip
(如果在 virtualenv 中,则省略 --user
)--user
开关将只为当前用户(在你家 ~/.local/lib/ 中)而不是为整个操作系统升级 pip,这是避免干扰系统 python 包的好习惯。它在最近的 Ubuntu/Fedora 版本中分发的 pip 中默认启用。如果您不使用此选项并且碰巧覆盖了操作系统级别的系统 pip,请注意如何解决 ImportError。
或者(也在用户级别)您可以尝试:$ curl -LO https://bootstrap.pypa.io/get-pip.py && python get-pip.py --user
PyPA script 包含一个从 pip._vendor.certifi 中提取 .pem SSL 包的包装器。
否则,如果仍然不行,请尝试使用 -vvv
选项运行 pip 以向输出添加详细信息,并检查现在是否存在由 tlsv1 alert protocol version 引起的另一个 SSLError
。
【讨论】:
我建议在您的 .bash_profile 或 .zshrc 中创建此别名以使其更容易:alias pp="python -m pip install --trusted-host files.pythonhosted.org --trusted-host pypi.org --trusted-host pypi.python.org "
@henry 嘿,是的,确实如此,或者在 ~/.bashrc 然后source
它.. 虽然,尝试更新pip
看看它是否修复可能是个好主意证书问题的根本原因。或者,可以获取当前的 Mozilla CA bundle file 并将其与 pip 选项 --cert
一起使用(答案已更新)。
到目前为止,我在这篇文章中建议的任何方法都没有成功。即使我将 pypi.org、pypi.python.org 和 files.pythonhosted.org 指定为受信任的主机,我也会收到错误消息“无法获取 URL pypi.org/simple/pip:确认 ssl 证书时出现问题:HTTPSConnectionPool(host='pypi .org',端口 = 443)”。如果我已将这些主机指定为受信任,为什么它会尝试确认 ssl 证书?【参考方案2】:
上面的错误或者类似的错误是由于虚拟机(VM)没有时间同步引起的,我的guest Ubuntu VM是几天前的。
我运行这个命令是为了让 VM 获得正确的网络时间:
sudo timedatectl set-ntp on
这使得 Ubuntu 来宾操作系统获得网络时间。 (可能要提供网络时间源……我用了这篇文章:Digital Ocean - How to set time on Ubuntu)
检查时间是否正确:
timedatectl
重新运行失败的 pip 命令。
【讨论】:
【参考方案3】:我的方式是简化@Alex C 的回答:
python -m pip install --trusted-host pypi.python.org --trusted-host files.pythonhosted.org --trusted-host pypi.org --upgrade pip
【讨论】:
无论我指定这些受信任的主机,我的安装尝试总是导致“确认 ssl 证书时出现问题:HTTPSConnectionPool(host='pypi.org', port=443)”。因此,无论如何,似乎总是尝试 SSL 确认。【参考方案4】:这对我有用,试试这个:
pip install --trusted-host=pypi.org --trusted-host=files.pythonhosted.org --user name of whatever I'm installing
【讨论】:
谢谢,它工作得非常好。为此浪费了一个小时。非常感谢。以上是关于pip 总是无法通过 ssl 验证的主要内容,如果未能解决你的问题,请参考以下文章
使用 PIP 时出现“SSL:CERTIFICATE_VERIFY_FAILED”错误
解决Linux 安装python3 .5 解决pip 安装无法成功问题ssl安全拦截无法pip安装库问题