ssl - “bq”命令行工具抛出 CERTIFICATE_VERIFY_FAILED
问题描述
更新(2019 年 2 月 7 日):该问题现已修复,因此如果您仍然遇到此问题,请尝试gcloud components update
.
在过去几个月的某个时候,我的bq
工具停止了工作。即使是简单的事情也会显示此错误:
$ bq show
BigQuery error in show operation: Cannot contact server. Please try again.
Traceback: Traceback (most recent call last):
File "/opt/google-cloud-sdk/platform/bq/bigquery_client.py", line 685, in BuildApiClient
response_metadata, discovery_document = http.request(discovery_url)
File "/opt/google-cloud-sdk/platform/bq/third_party/oauth2client_4_0/transport.py", line 176, in new_request
redirections, connection_type)
File "/opt/google-cloud-sdk/platform/bq/third_party/oauth2client_4_0/transport.py", line 283, in request
connection_type=connection_type)
File "/opt/google-cloud-sdk/platform/bq/third_party/httplib2/__init__.py", line 1626, in request
(response, content) = self._request(conn, authority, uri, request_uri, method, body, headers, redirections, cachekey)
File "/opt/google-cloud-sdk/platform/bq/third_party/httplib2/__init__.py", line 1368, in _request
(response, content) = self._conn_request(conn, request_uri, method, body, headers)
File "/opt/google-cloud-sdk/platform/bq/third_party/httplib2/__init__.py", line 1288, in _conn_request
conn.connect()
File "/opt/google-cloud-sdk/platform/bq/third_party/httplib2/__init__.py", line 1082, in connect
raise SSLHandshakeError(e)
SSLHandshakeError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:726)
我尝试了以下方法:
sudo gcloud components update
(版本 221.0.0)。sudo pacman -Syu
(系统更新)以获取最新的 SSL 证书集。这是 Arch Linux,所以几乎总是最前沿的。sudo gcloud components reinstall
.- 完全从AUR卸载
google-cloud-sdk
、清除剩余并重新安装。/opt/google-cloud-sdk
- 添加
--httplib2_debuglevel=3
(有效值未记录,在3
此处找到值)。这不会提供任何额外的输出。 - 添加一个
--ca_certificates_file=/etc/ca-certificates/extracted/tls-ca-bundle.pem
,--ca_certificates_file=/etc/ca-certificates/extracted/ca-bundle.trust.crt
其中--ca_certificates_file=/etc/ssl/certs/ca-certificates.crt
一个肯定是我系统上的根证书包。其中最后一个由 curl 使用,可以www.googleapis.com
很好地交谈。 - 查看源代码以发现这
/opt/google-cloud-sdk/platform/bq/third_party/httplib2/cacerts.txt
是默认使用的证书包。如果我尝试这个curl --cacert ...
,它仍然有效。 - 在这个 shell 中设置
GOOGLE_APPLICATION_CREDENTIALS
环境变量。正如预期的那样,这也没有什么不同。SSL 错误发生在bq
甚至有机会开始 OAuth 握手之前。 - 添加
--disable_ssl_validation
. 这“有效”但显然不安全。
其他人看到这个,或者有如何调试/解决的想法?
解决方案
我在使用 Arch Linux 时也看到了完全相同的问题。
但是,当您在命令行上发出bq
命令时,我很确定没有使用证书文件/opt/google-cloud-sdk/platform/bq/third_party/httplib2/cacerts.txt
,因为该标志--ca_certificates_file=/etc/ssl/certs/ca-certificates.crt
将在应用程序引导过程中自动放入标志中。在 Arch Linux 上,此文件是指向/etc/ca-certificates/extracted/tls-ca-bundle.pem
.
我已经尝试使用这个 CA 包curl
来openssl s_client
对抗被调用的 API URL,即
https://www.googleapis.com/discovery/v1/apis/bigquery/v2/rest
它工作得很好。
我的假设是,这不是证书丢失或过期的问题。我的pyopenssl
包是 version 18.0.0
,所以我在这里是最新版本。但是,我认为这个问题是由 TLS 握手过程中不支持的密码或算法引起的。
推荐阅读
- javascript - 如何将php数组字符串作为参数传递给javascript函数?
- node.js - AWS lambda http 发布请求失败
- pytorch - no_grad() PyTorch 中未禁用梯度计算
- laravel - 使用同一表中另一列的值更新表列
- makefile - make 重新编译未更改的文件
- c++ - word.exe 已停止使用递归工作
- laravel - 试图访问 /js/app.js net::ERR_ABORTED 500(内部服务器错误)
- html - OBIEE 12C:可下载文件的 HTML 缓存
- google-cloud-platform - 我不小心删除了我在 gcp 上的服务帐户
- laravel-5 - 当我添加关系时,在表中添加数据会显示错误