本文详解python 3.12环境下boto3调用aws glue等服务时出现`ssl: certificate_verify_failed`错误(错误码c:1000)的根本原因与安全、可持续的修复方法,涵盖证书路径配置、环境变量设置及代码级规避策略。
该SSL错误([SSL: CERTIFICATE_VERIFY_FAILED] unable to get local issuer certificate (_ssl.c:1000))本质上并非AWS端问题,而是Python客户端无法验证AWS TLS证书链中的根CA证书——常见于系统或Python环境缺少最新可信根证书(如ISRG Root X1/X2、DST Root CA X3已过期),尤其在Windows平台下,当Python使用独立安装的OpenSSL或虚拟环境中certifi证书包未及时更新时极易触发。
推荐优先采用的安全修复方案如下:
✅ 1. 更新 certifi 并显式指定证书路径
certifi是Python生态中boto3默认信任的CA证书包。请确保其为最新版,并在代码中主动加载:
pip install --upgrade certifi
然后在脚本开头添加(替代不安全的ssl._create_unverified_context):
立即学习“Python免费学习笔记(深入)”;
import os
import certifi
import boto3
# 强制boto3使用certifi提供的权威证书
os.environ['SSL_CERT_FILE'] = certifi.where()
# 后续正常初始化客户端(无需修改SSL上下文)
client = boto3.client('glue', region_name='us-west-2')✅ 2. 验证证书路径有效性(Windows关键步骤)
若仍报错,请检查certifi.where()返回路径是否可读:
import certifi
print("Cert path:", certifi.where()) # 例如:C:\...\site-packages\certifi\cacert.pem若路径含空格或权限受限(如报OSError: [WinError 1314]),请以管理员身份运行命令提示符,或改用用户目录下的可写路径:
import shutil import tempfile import certifi # 复制证书到临时可写位置(生产环境建议固定路径如 %USERPROFILE%\certs\) temp_cert = os.path.join(tempfile.gettempdir(), 'aws_cacert.pem') shutil.copy(certifi.where(), temp_cert) os.environ['SSL_CERT_FILE'] = temp_cert
✅ 3. 全局环境变量配置(一劳永逸)
在系统环境变量中设置(Windows:系统属性 → 高级 → 环境变量 → 系统变量 → 新建):
- 变量名:SSL_CERT_FILE
- 变量值:C:\path\to\your\venv\Lib\site-packages\certifi\cacert.pem(替换为实际路径)
⚠️ 注意:切勿使用ssl._create_unverified_context(如原代码第6行) —— 它完全禁用SSL验证,使连接暴露于中间人攻击(MITM),违反AWS安全最佳实践,且在较新botocore版本中可能被强制拒绝。
补充排查建议:
- 检查系统时间是否准确(SSL证书验证依赖正确时间);
- 运行 openssl version -d 确认OpenSSL配置目录,必要时将certifi证书软链接至该目录;
- 若企业网络部署了SSL解密代理,需将代理CA证书追加至cacert.pem末尾(非覆盖)。
通过以上任一方案,即可在保持HTTPS通信完整性与机密性的前提下,彻底解决_ssl.c:1000证书验证失败问题。核心原则是:让Python信任正确的根证书,而非绕过验证。
