Codex SELF_SIGNED_CERT_IN_CHAIN 证书链错误解决方法

原创 于 2026-06-29 06:01:40 发布 · 183 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#Codex #OpenAI #AI

错误现象

在公司网络、代理环境或者自建网关后面使用 Codex 时,比较容易碰到 SELF_SIGNED_CERT_IN_CHAIN。常见场景有两个:一个是安装或更新 Codex 相关 npm 包时失败,另一个是 Codex CLI 调用接口时直接报证书链错误。

典型报错类似下面这样:

### token云桥中转 0029.org ###
request to https://api.openai.com/v1/... failed, reason:
self-signed certificate in certificate chain

Error: SELF_SIGNED_CERT_IN_CHAIN
    at TLSSocket.onConnectSecure (_tls_wrap.js:...)

如果是 npm 安装阶段,可能会看到:

npm ERR! code SELF_SIGNED_CERT_IN_CHAIN
npm ERR! request to https://registry.npmjs.org/... failed, reason: self-signed certificate in certificate chain

先不要急着改代码。这个错误大多数不是 Codex 本身的问题,而是本机 Node.js 在校验证书链时,发现链路中有一个自签名 CA,但这个 CA 不在它信任的根证书列表里。

先判断问题发生在哪一层

排查时建议按顺序来,不要一上来就关证书校验。先确认是 npm、Codex CLI、代理,还是系统证书的问题。

1. 看 npm 是否也报错

npm ping
npm config get registry
npm config get strict-ssl
npm config get cafile

如果 npm ping 就报 SELF_SIGNED_CERT_IN_CHAIN,说明至少 npm 这层证书配置有问题。此时 Codex 调接口失败只是同一个问题的表现。

2. 用 curl 看证书链

curl -v https://api.openai.com/v1/models

如果返回里能看到公司代理、网关、安全设备签发的证书,例如 issuer 不是常见公共 CA,而是公司内部 CA,那么基本可以确认是代理做了 HTTPS 解密,需要把内部根证书加到信任链。

3. 检查代理环境变量

echo $HTTP_PROXY
echo $HTTPS_PROXY
echo $NODE_EXTRA_CA_CERTS

Windows PowerShell 可以这样看:

echo $env:HTTP_PROXY
echo $env:HTTPS_PROXY
echo $env:NODE_EXTRA_CA_CERTS

有些机器以前配过代理,后来网络环境换了,但环境变量还在,Node 请求仍然会走旧代理,也会触发证书链错误。

常见原因

  • 公司 HTTPS 代理拦截:安全网关重新签发证书,本机浏览器信任,但 Node.js 不一定信任。
  • npm 使用了自定义 registry:私有源或镜像源证书链不完整。
  • Node.js 没有加载系统根证书:尤其在 macOS、Linux、容器环境里更常见。
  • 配置了错误的 cafile:npm config 或环境变量指向了过期证书文件。
  • 系统时间不正确:证书还没生效或已经过期,也可能表现为 TLS 校验失败。

逐步修复方法

方法一:导出公司或代理根证书

如果你在公司网络里,一般需要从浏览器或 IT 提供的入口导出根 CA 证书。注意要导出根证书,不是某个网站的叶子证书。文件格式建议使用 PEM,例如:

corp-root-ca.pem

如果拿到的是 .cer.crt,可以先看内容。如果是以 -----BEGIN CERTIFICATE----- 开头,就是 PEM 格式;如果是二进制 DER 格式,可以转换:

openssl x509 -inform DER -in corp-root-ca.cer -out corp-root-ca.pem

方法二:让 Node.js 信任这个根证书

对 Codex CLI 这类基于 Node.js 的工具,比较稳的方式是配置 NODE_EXTRA_CA_CERTS

macOS / Linux:

export NODE_EXTRA_CA_CERTS=/Users/yourname/certs/corp-root-ca.pem
codex

如果希望长期生效,可以写入 shell 配置文件:

echo 'export NODE_EXTRA_CA_CERTS=/Users/yourname/certs/corp-root-ca.pem' >> ~/.zshrc
source ~/.zshrc

Windows PowerShell:

$env:NODE_EXTRA_CA_CERTS="C:\certs\corp-root-ca.pem"
codex

长期生效可以用:

setx NODE_EXTRA_CA_CERTS "C:\certs\corp-root-ca.pem"

注意:setx 设置后需要重新打开终端才会生效。

方法三:给 npm 配置 cafile

如果错误出现在安装 Codex 或 npm 包阶段,可以单独给 npm 配置证书文件:

npm config set cafile "/Users/yourname/certs/corp-root-ca.pem"
npm config set strict-ssl true
npm ping

Windows 路径示例:

npm config set cafile "C:\certs\corp-root-ca.pem"
npm config set strict-ssl true
npm ping

如果之前有人为了临时解决问题关闭过校验,建议改回来:

npm config set strict-ssl true

strict-ssl false 确实可能让安装继续跑,但它绕过了证书校验,不适合作为长期方案,尤其不建议在生产环境或公司开发机上保留。

方法四:清理错误代理配置

如果你已经不需要代理,但环境变量还存在,可以临时清掉再测试。

macOS / Linux:

unset HTTP_PROXY
unset HTTPS_PROXY
unset http_proxy
unset https_proxy

Windows PowerShell:

Remove-Item Env:HTTP_PROXY
Remove-Item Env:HTTPS_PROXY
Remove-Item Env:http_proxy
Remove-Item Env:https_proxy

npm 里也可能单独配置了代理:

npm config get proxy
npm config get https-proxy
npm config delete proxy
npm config delete https-proxy

如果你本来就是通过中转或代理访问模型接口,建议选一个证书链正常、文档清楚、调用方式稳定的服务。实际项目里我会优先看是否支持标准 OpenAI API 格式、是否方便在 Cursor、VS Code、Codex CLI 里配置。比如 token 云桥 AI 中转站 0029.org,适合作为排查网络和接口兼容性时的一个备选项,但证书和代理配置仍然要按本机环境处理好。

方法五:检查系统时间和 Node 版本

系统时间错误也会造成证书校验异常,特别是虚拟机、WSL、Docker 容器里经常被忽略。

date
node -v
npm -v

如果 Node 版本太旧,也建议升级到当前维护中的 LTS 版本。老版本 Node 内置证书和 TLS 行为可能和新环境不一致。

修复后的验证方式

证书配置改完后,不要只看 Codex 能不能打开,建议分层验证。

验证 npm

npm ping
npm view npm version

如果这两条都正常,说明 npm 访问 registry 的证书链已经没问题。

验证 Node.js HTTPS 请求

可以用一段最小脚本确认 Node 是否能正常建立 TLS 连接:

node -e "require('https').get('https://api.openai.com', res => { console.log(res.statusCode); }).on('error', err => { console.error(err); })"

如果不再出现 SELF_SIGNED_CERT_IN_CHAIN,说明 Node 侧证书信任已经生效。返回 404、401 之类状态码都不一定是坏事,至少说明 TLS 握手通过了。

验证 Codex

最后再回到 Codex 本身,执行一次最简单的命令或发起一次最小请求。此时如果还失败,就要看是否是 API Key、base URL、模型名或权限问题,而不是证书链问题。

codex --version
codex

避免复发的几个注意点

  • 证书文件路径尽量固定,不要放在临时目录或下载目录。
  • 公司根证书更新后,要同步更新 NODE_EXTRA_CA_CERTS 指向的 PEM 文件。
  • 不要长期使用 NODE_TLS_REJECT_UNAUTHORIZED=0,这会关闭 Node.js TLS 校验。
  • 容器里运行 Codex 时,也要把根证书复制进镜像,并配置环境变量。
  • 切换网络后,记得检查代理环境变量和 npm proxy 配置。

总结一下:SELF_SIGNED_CERT_IN_CHAIN 的核心是证书链不被 Node.js 信任。排查时先确定错误发生在 npm、Node 请求还是 Codex 调用层,再补齐根证书、修正代理配置,最后用 npm、Node 脚本和 Codex 分别验证。不要把关闭 SSL 校验当成正式修复方案,这类问题按证书链处理,后面会省很多排查时间。

cmdos
关注
AutoDL 国内服务器安装 Codex CLI:Node 升级、代理证书与 PATH 永久配置
TP567的博客
06-23 207
本文记录了在 AutoDL 国内服务器上安装 Codex CLI 的过程。针对官方脚本访问 chatgpt.com 超时、系统 Node.js 版本过低,以及 AutoDL 网络加速导致 npm 出现 SELF_SIGNED_CERT_IN_CHAIN 等问题,最终通过升级至 Node.js LTS、使用 npm 安装 Codex,并临时绕过代理证书校验完成部署。实践表明,AutoDL 容器可以成功安装并运行 Codex CLI,但后续登录和调用仍需保证服务器具备访问 OpenAI 服务的网络条件。
CentOs7网卡配置文件修改无效
06-28
代码转载自:https://pan.quark.cn/s/8ce4326d996e 对于在 CentOS 7 系统中修改网卡配置文件后无法使设置生效的情况,经过实践验证,可以通过使用 nmcli 命令来进行调整。完成修改之后,需要重新启动虚拟机以使更改生效,这样操作流程即告完成。如果设置仍然无法生效,则表明虚拟机在启动过程中所获取的 IP 地址配置并非针对 eth0,此时可以对其它网卡的配置文件进行修改或将其移除。在 CentOS 7 系统中,网络配置的管理机制与早期版本存在差异,主要体现为采用了 Network Manager 服务来负责网络接口的管理。在某些情形下,尽管修改了 `/etc/sysconfig/network-scripts` 目录下的 `ifcfg-eth0` 文件,但网络配置却未能即时生效。此类问题的发生通常源于 CentOS 7 采用了不同于以往的配置读取方法。接下来将具体阐述如何借助 nmcli 命令来处理这一挑战。 以 root 用户身份登录系统并打开终端界面。nmcli 是 Network Manager 提供的命令行界面工具,它支持在命令行环境下执行网络连接的建立、编辑、查询及管理任务。针对修改 eth0 网卡配置的需求,可以遵循以下步骤进行操作: 1. 导航至 `/etc/sysconfig/network-scripts` 目录: ``` cd /etc/sysconfig/network-scripts ``` 2. 检查该目录内是否存在 `ifcfg-eth0.bak` 文件,该备份文件可能是先前调整配置时遗留下来的,若存在可能造成冲突。若发现该文件,可以选择将其删除: ``` [root@localhost netw...
网络管理教程入门至精通软件.txt
06-28
代码转载自:https://pan.quark.cn/s/46fd08fb879c 网管教程 从入门到精通软件篇 ★一。★详尽的xp修复控制台指令及其应用!!! 放入xp(2000)的光盘,安装时选择R,执行修复! Windows XP(涵盖 Windows 2000)的控制台指令是在系统遭遇某些意外状况时的一种极具效用的诊断、检测以及恢复系统功能的工具。笔者确实一直期望能够将这方面的指令进行归纳,此次由老范辛苦整理了这份极具价值的秘籍。 Bootcfg bootcfg 命令用于启动配置与故障恢复(对大多数计算机而言,即 boot.ini 文件)。 带有特定参数的 bootcfg 命令仅在运用故障恢复控制台时方可使用。能够在命令行界面下运用带有不同参数的 bootcfg 命令。 用法: bootcfg /default 设定默认引导选项。 bootcfg /add 向引导清单中增添 Windows 安装。 bootcfg /rebuild 重复整个 Windows 安装流程并让用户选择需添加的项目。 注意:运用 bootcfg /rebuild 之前,应先借助 bootcfg /copy 命令备份 boot.ini 文件。 bootcfg /scan 探查用于 Windows 安装的全部磁盘并展示结果。 注意:这些结果被静态存储,并用于当前会话。若在当前会话期间磁盘配置发生变动,为获取更新的探查结果,必须先重启计算机,然后再次探查磁盘。 bootcfg /list 列示引导清单中已有的项目。 bootcfg /disableredirect 在启动引导程序中禁用重定向。 bootcfg /redirect [ PortBaudRrate] |[ useBio...
Ansible playbook register参数详解[项目代码]
06-28
本文详细介绍了Ansible中register关键字的使用方法。register用于捕获任务输出并存储为变量,支持后续任务调用和条件判断。文章从基本用法入手,展示了如何通过shell模块注册变量并访问其stdout、stderr、rc等字段。接着讲解了基于register变量的条件判断,如使用stat模块检查文件存在性。针对复杂输出,介绍了通过Jinja2模板引擎访问嵌套字典和列表的方法,例如获取Docker容器状态。还涵盖了多任务注册,通过loop循环结合register批量处理文件检查。此外,文章说明了ignore_errors与register的配合使用,允许任务失败时仍捕获输出。最后通过实际示例演示了如何获取Python包列表并过滤版本号大于3.0的包。register功能强大,能显著提升Playbook的灵活性和健壮性。
鸿蒙App开发全流程实战[可运行源码]
06-28
本文介绍了《鸿蒙App开发全流程实战》一书,该书基于鸿蒙3.0操作系统,面向Web前端开发者,详细讲解了鸿蒙App开发的完整流程。内容涵盖鸿蒙操作系统背景、技术架构、开发环境搭建、JavaScript组件开发、分布式多终端App实战(如计划管理软件)、服务卡片、原子化服务、流转功能等。书中包含大量代码示例和视频讲解,并附赠源码及PPT。文章还提供了赠书活动信息,鼓励读者关注、点赞、收藏和评论以参与抽奖。作者为华为云特约编辑、CSDN博客专家,拥有丰富的开发经验。
易语言源码易语言考勤辅助工具源码
06-28
易语言源码易语言考勤辅助工具源码
YOLO算法英镑纸币目标检测数据集-400张-标注类别为二十英镑.zip
06-28
【注:该页面底部资源详情处,可查看数据集可视化效果】 1. YOLO目标检测数据集, 适用于YOLOV5、yolov7,yolov8, yolov11, yolov13, yolo26等系列算法,含标签,已标注好,可以直接用来训练,包含YOLO格式标签和VOC格式标签; 2. 内置data.yaml数据集配置文件,已经划分好了训练集、验证集等; 3. 数据集和模型具体情况可参考 https://blog.csdn.net/zhiqingAI/article/details/124230743?spm=1001.2014.3001.5502
摄像头AA制程-下载即用.zip
06-28
代码下载链接: https://pan.quark.cn/s/fc524f791b68 AA制程,即Active Alignment,被理解为主动对准,是一种用于确定零部件装配中相对位置的方法。在摄像头封装阶段,涉及图像传感器、镜座、马达、镜头、线路板等多个部件的重复组装,而传统的封装设备如CSP及COB等,均是依据设备设定的参数进行零部件的移动装配,因而零部件的叠加误差会逐渐增大,最终在摄像头上表现为拍照最清晰的位置可能偏离画面中心、四边清晰度不均等现象。伴随智能手机和其他高端电子产品的普及,摄像头模组的性能正日益受到重视。高分辨率、卓越的低光表现以及稳定视频输出是现代用户所期望的。在摄像头模组的制造环节,各部件的精准定位对成像质量具有决定性作用。因此,一种名为“AA制程”(Active Alignment)的前沿技术被开发出来,成为摄像头精密对准的核心技术。 AA制程,即Active Alignment,是一种在摄像头封装过程中应用的主动对准方法。该方法在多个组件装配阶段发挥作用,涵盖图像传感器、镜座、马达、镜头和线路板等部件。传统的封装方式,例如CSP(Chip Scale Package)和COB(Chip On Board),依赖于设备预设的参数进行组装,但随着组件数量的增加,误差也会累积,最终影响摄像头的表现。例如在成像质量上可能出现中心位置偏移、四角清晰度不一致等问题。 AA制程技术的核心在于实时监测与主动调整。在组装过程中,它借助先进的检测设备持续监控半成品的状态,并根据实时信息对组装部件进行精确修正,从而显著降低装配误差。通过这种技术,能够确保摄像头模组中各组件的相对位置准确无误,从而使得最终的成像效果更加稳定,特别是在中心区域和四角的清晰度上...
安卓程序古诗500首卡片式-墨韵诗笺安卓apk程序
06-28
在快节奏的数字时代,古诗词仿佛一缕清泉,润泽着浮躁的心灵。“墨韵诗笺”便是一款以水墨风格呈现的单机古诗词鉴赏应用,收录了从先秦到清代共 500 首经典诗词,旨在为用户打造一座掌上诗词桃源。它不仅提供了朝代分类浏览、卡片翻转译注、本地收藏书架等核心体验,更通过细腻的水墨视觉和流畅的交互,让古典之美在现代屏幕上复活。 ———————————————— 版权声明:本文为CSDN博主「海兰」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/hadoop_/article/details/162396551
Cisco Packet Tracer 校园网设计
06-28
打开链接下载源码: https://pan.quark.cn/s/a4b39357ea24 这是一个针对中小型校园网络环境的网络构建方案,借助Packet Tracer仿真软件来完成网络配置工作,并且融合了多种先进的技术手段。 在此方案中,通过运用VLAN技术来达成学校不同部门之间的网络区域划分;借助链路捆绑技术来增强核心层的网络传输速率与运行稳定性;借助RSTP协议来提升网络在发生故障时的切换效率,同时防止出现网络环路及广播风暴现象;借助思科公司的HSRP协议来确保网关设备的高可用性;通过设置ACL访问控制列表来管控不同部门网络之间的互访权限;通过部署NAT网络地址转换技术来处理内部网络设备访问外部网络和公网IP地址资源不足的情况;通过配置OSPF动态路由协议并结合默认路由引入功能,来确保内部网络设备之间的互联互通以及访问外部互联网的路径选择问题;同时在网络架构中集成了无线路由设备,为校园网络中的无线终端用户提供了WIFI接入服务。 该网络架构具备完善的各项功能,并且配置流程说明详尽,适合作为课程设计或毕业设计的参考范例,但未经合法授权严禁用于商业目的。
易语言源码易语言酷按钮模块3.2源码
06-28
易语言源码易语言酷按钮模块3.2源码
<数据集>yolo 垃圾桶满溢识别<目标检测>
最新发布
06-28
YOLO与VOC格式的垃圾桶满溢识别数据集,适用于YOLO系列、Faster Rcnn、SSD等模型训练,类别:overflow、garbage、garbage_bin,图片数量3349。文件中包含图片、txt标签、指定类别信息的yaml文件、xml标签,已将图片和txt标签划分为训练集、验证集和测试集,可直接用于YOLOv5、YOLOv6、YOLOv7、YOLOv8、YOLOv9、YOLOv10、YOLOv11、YOLOv12、YOLOv13、YOLOv26等YOLO系列算法的训练。
光子晶体90度弯曲波导的2D FDTD(Matlab代码实现)
06-28
内容概要:本文介绍了一套基于Matlab实现的光子晶体90度弯曲波导的二维时域有限差分法(2D FDTD)仿真代码,旨在通过数值模拟手段深入研究光子晶体波导中的光传播特性。该资源聚焦于电磁场与光子学领域的仿真技术应用,系统实现了FDTD算法在复杂介质结构中的建模过程,涵盖空间网格剖分、时间步进迭代、完美匹配层(UPML)边界条件处理、总场散射场(TFSF)激励源设置、介电常数分布定义及电磁场演化可视化等核心模块,能够有效分析光在90度弯曲波导中的传输效率、模式分布与反射损耗等关键性能指标。; 适合人群:具备电磁场理论基础和Matlab编程能力的研究生、科研人员以及从事光子晶体器件设计与仿真的工程技术人员。; 使用场景及目标:①用于教学演示FDTD方法的基本原理与算法流程,帮助理解麦克斯韦方程的离散化求解过程;②支撑科研工作中对光子晶体弯曲波导结构的传输特性进行仿真分析与性能优化;③作为开发更复杂光子集成器件(如分束器、滤波器)数值仿真工具的基础框架; 阅读建议:建议使用者结合经典FDTD教材(如Taflove著作)深入理解算法理论,并在Matlab环境中逐模块调试代码,重点关注电场与磁场的交替更新过程、UPML吸收边界的设计实现以及TFSF源的引入方式,从而全面提升对时域电磁仿真机制的掌握与应用能力。
Idea2025 Tomcat控制台乱码解决[可运行源码]
06-28
该内容针对IntelliJ IDEA 2025版本中运行Tomcat时控制台打印字符出现乱码的问题,提供了一种特定的解决方案。解决方法是进入运行配置(Run > Edit Configurations > Tomcat Server),在VM options参数中添加`-Dfile.encoding=UTF-8`,通过设置JVM的文件编码为UTF-8来确保控制台输出字符的正确显示。此方法直接针对Tomcat项目进行特殊处理,能有效解决因编码不一致导致的乱码问题。
arduino-ide-2.3.10-Linux-64bit.AppImage
06-28
arduino-ide_2.3.10_Linux_64bit.AppImage
六招搞定core dump问题[源码]
06-28
本文详细介绍了在Linux C++开发中调试core dump问题的六种实用方法。首先,通过代码review和打印log夹逼,适合简单代码和快速定位;其次,使用dmesg和addr2line组合,即使core文件未生成也能定位问题;第三,strace结合addr2line,通过系统调用追踪异常;第四,valgrind工具能检测内存错误并指出具体行号;最后,gdb调试是核心技能,可直接运行程序并查看堆栈信息。文章以示例程序演示了每种方法,强调gdb的重要性,并建议开发者掌握多种调试技巧以提高效率。
易语言源码易语言卷帘菜单快速启动
06-28
易语言源码易语言卷帘菜单快速启动
直驱式永磁同步电机矢量控制仿真模型研究(Simulink仿真实现)
06-28
内容概要:本文围绕直驱式永磁同步电机(PMSM)的矢量控制仿真模型展开研究,基于Simulink平台构建了完整的电机控制系统仿真模型,涵盖电机本体建模、坐标变换(如Clark变换与Park变换)、磁场定向控制(FOC)、电流环与速度环的PI调节、空间矢量脉宽调制(SVPWM)等核心技术环节,旨在实现对电机转矩与转速的高精度、动态响应良好的控制。通过系统化仿真验证控制策略的有效性与鲁棒性,深入分析各模块间的信号流向与控制逻辑,为电机驱动系统的设计与优化提供理论依据和技术支撑,是理论联系工程实践的重要桥梁。; 适合人群:具备电机学、电力电子与自动控制基础知识,熟悉Simulink/MATLAB仿真环境,从事电气工程、自动化、新能源车辆、智能制造等方向的研究生、科研人员及工程技术人员。; 使用场景及目标:①深入理解永磁同步电机矢量控制的核心原理与系统架构;②掌握在Simulink中从零开始搭建复杂电机控制系统的方法与技巧;③应用于课程设计、毕业论文、科研项目中的控制算法验证、参数整定与性能优化;④为后续的硬件在环(HIL)测试或实物系统开发奠定仿真基础。; 阅读建议:建议结合经典电机控制理论教材同步学习,注重理论推导与仿真实现的对应关系,动手实践模型搭建、参数调试与波形分析,特别关注PI控制器参数整定对系统稳定性、动态响应速度和抗干扰能力的影响,通过反复仿真迭代加深对控制机理的理解。
易语言源码易语言开机启动模块源码
06-28
易语言源码易语言开机启动模块源码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值