LangChain-KR项目中使用OpenAIEmbeddings时解决SSL证书验证错误

在LangChain-KR项目中集成OpenAIEmbeddings与FAISS向量数据库时，开发者可能会遇到一个常见的SSL证书验证错误。本文将深入分析该问题的成因，并提供专业可靠的解决方案。

问题现象分析

当使用OpenAIEmbeddings组件时，系统会尝试从openaipublic.blob.core.windows.net下载必要的编码文件cl100k_base.tiktoken。在此过程中，可能会抛出以下异常：

requests.exceptions.SSLError: HTTPSConnectionPool(host='openaipublic.blob.core.windows.net', port=443): Max retries exceeded with url: /encodings/cl100k_base.tiktoken (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1006)'))

这个错误表明Python的requests库无法验证服务器提供的SSL证书链，因为其中包含了自签名证书。

技术背景

SSL/TLS证书验证是HTTPS安全连接的基础机制。现代Python环境默认会验证服务器证书的有效性，包括：

1. 证书是否由受信任的证书颁发机构(CA)签发
2. 证书是否过期
3. 证书中的域名是否与访问的域名匹配

当遇到自签名证书或中间证书问题时，这种验证机制会主动中断连接以防止潜在的安全风险。

解决方案

经过实践验证，最可靠的解决方法是安装pip_system_certs包：

pip install pip_system_certs

这个包的作用是将系统的证书存储库与Python的SSL模块集成，确保Python能够识别和使用系统中已配置的所有受信任CA证书。相比临时禁用SSL验证或手动添加证书，这种方法既安全又便于维护。

替代方案比较

虽然还有其他几种可能的解决方法，但各有优缺点：

1. 禁用SSL验证（不推荐）

   import ssl
   ssl._create_default_https_context = ssl._create_unverified_context
   

   缺点：完全禁用SSL验证会带来安全风险

2. 更新证书包

   pip install --upgrade certifi
   

   可能有效，但不一定能解决自签名证书问题

3. 手动添加证书 操作复杂且不易维护

相比之下，pip_system_certs方案最为优雅，它保持了安全性同时解决了证书信任问题。

最佳实践建议

1. 在生产环境中，建议优先使用系统集成的证书方案
2. 定期更新系统证书存储
3. 对于企业内网环境，确保将内部CA证书正确安装到系统信任库中
4. 开发环境下可以使用临时方案，但部署时应采用标准解决方案

通过理解这个问题的本质和解决方案，开发者可以更从容地处理LangChain-KR项目中类似的基础设施级问题。