macOS SSL证书错误源于系统根证书未被正确识别或OpenSSL未信任钥匙串证书;需在“钥匙串访问”中启用System Roots、设DST/ISRG根证书为始终信任,并刷新信任设置;pip需将系统根证书合并至certifi路径;brew可尝试update或重装curl/openssl;长期建议避免禁用CRL验证,定期同步系统证书。
MacOS 上使用 Homebrew、pip 或其他包管理器时出现 SSL 证书错误(如 SSL: CERTIFICATE_VERIFY_FAILED、unable to get local issuer certificate),通常不是网络问题,而是系统根证书未被正确识别或 Python/Homebrew 使用的 OpenSSL 未信任 macOS 自带的钥匙串证书。
检查并修复 Homebrew 的证书信任链
Homebrew 默认使用系统自带的 curl 和证书,但某些 macOS 版本(尤其是升级后或重装系统)可能出现钥匙串中“System Roots”未启用的情况:
- 打开“钥匙串访问”应用 → 左侧选择“系统”钥匙串 → 点击菜单栏“钥匙串访问”→“偏好设置”→“证书”标签 → 确保勾选“在证书使用不受信任时发出警告”和“自动更新信任设置”
- 在“系统”钥匙串中搜索 “DST Root CA X3” 或 “ISRG Root X1”,右键点击 → “显示简介” → 展开“信任” → 将“使用此证书时”设为“始终信任”
- 终端执行:
sudo security trust-settings-export /tmp/trust.plist && sudo security trust-settings-import /tmp/trust.plist(强制刷新系统级信任设置)
修复 pip 的 SSL 验证失败
Python(尤其通过 pyenv 或手动安装的版本)常自带独立 OpenSSL,不读取 macOS 钥匙串。不要用 --trusted-host 临时跳过验证(不安全):
- 确认当前 Python 使用的证书路径:
python -c "import ssl; print(ssl.get_default_verify_paths())" - 将 macOS 根证书导出并合并到 pip 使用的 cafile:
sudo security find-certificate -p /System/Library/Keychains/SystemRootCertificates.keychain >> $(python -c "import certifi; print(certifi.where())") - 验证是否生效:
pip install --upgrade pip(应不再报 SSL 错误)
避免 brew doctor 报告证书相关警告
运行 brew doctor 提示 “Your system is missing the root certificates needed to verify SSL connections” 时,说明 brew 检测到证书路径异常:
- 先运行:
brew update(可能自动修复) - 若仍报错,尝试重置 brew 的证书配置:
unset HOMEBREW_FORCE_BOTTLE && brew tap-pin homebrew/core && brew update - 极少数情况需重装 curl 和 openssl:
brew reinstall curl openssl && brew link --force openssl curl
长期预防建议
避免未来反复出现,可做以下设置:
- 禁用 macOS 自动降级证书信任:在终端运行
defaults write com.apple.security.revocation CRLDisable -bool true(仅在企业环境或明确需要时启用,普通用户不建议) - 定期同步系统证书:
sudo /usr/bin/security trust-settings-export /dev/stdout | sudo /usr/bin/security trust-settings-import /dev/stdin - 使用
pyenv安装 Python 时,加上--enable-optimizations参数可提升对系统证书的支持稳定性
