我之前踩过一模一样的坑！企业内部站点的SSL证书一般是公司私有CA签发的，而certifi包里的都是公开的根证书，根本不包含你们内部的CA，所以你试的那三种方法自然不管用。给你几个针对性的解决方案：

1. 加载企业内部CA证书（推荐生产环境用） #

首先找到你们公司的内部根CA证书（通常是.pem或.crt格式，找运维或者IT部门要就行），然后用这个证书创建SSL上下文：

import ssl
import urllib2

# 创建默认SSL上下文
ctx = ssl.create_default_context()
# 替换成你实际的内部CA证书路径
ctx.load_verify_locations(cafile="/path/to/company-internal-rootCA.pem")
# 发起请求
response = urllib2.urlopen(url, context=ctx)

这是最安全的方式，只有信任你们自己的CA，才能正确验证内部站点的证书。

2. 临时跳过SSL验证（仅测试场景！） #

如果只是临时调试，不想折腾证书，可以临时禁用SSL验证，但生产环境绝对不能用，会有安全风险：

import ssl
import urllib2

ctx = ssl.create_default_context()
# 关闭主机名检查
ctx.check_hostname = False
# 完全禁用证书验证
ctx.verify_mode = ssl.CERT_NONE
response = urllib2.urlopen(url, context=ctx)

3. 检查证书链完整性 #

有些内部站点的证书链不完整，除了根CA还需要中间证书。你可以把根CA和所有中间证书合并到同一个.pem文件里（直接把内容复制到一起就行），然后再用load_verify_locations加载这个合并后的文件。

4. 利用系统证书库（如果已导入内部CA） #

如果你的机器已经把企业内部CA证书导入到了系统证书库（比如Windows证书管理器、Linux的/etc/ssl/certs目录），可以让Python直接使用系统证书：

import ssl
import urllib2

# 使用系统默认的服务端验证上下文，自动读取系统证书
ctx = ssl.create_default_context(ssl.Purpose.SERVER_AUTH)
response = urllib2.urlopen(url, context=ctx)

内容的提问来源于stack exchange，提问作者Hema