SSL on KnightLi的博客

Windows 下 llama-cli 直連 Hugging Face 出現 SSL 憑證驗證失敗怎麼辦

Fri, 17 Apr 2026 14:20:29 +0800

如果你在 Windows 下執行下面這條命令：

`1`	`llama-cli -hf unsloth/gemma-4-E4B-it-GGUF`

並看到類似錯誤：

1
2

get_repo_commit: error: HTTPLIB failed: SSL server verification failed
error: failed to download model from Hugging Face

通常不是 CUDA 或 llama.cpp 本身有問題，而是程式在目前環境裡沒有正確取得系統憑證鏈，導致 HTTPS 驗證失敗。

從錯誤訊息來看，ggml-rpc.dll 和 ggml-cpu-alderlake.dll 都已經正常載入，代表執行環境本身大致可用，問題主要集中在模型下載階段。

最省事的辦法：先手動下載模型

如果你只是想盡快跑起來，本機手動下載通常最穩。

打開對應的 Hugging Face 倉庫頁面。
在 Files and versions 裡下載需要的 .gguf 檔案。
下載完成後，直接用本機檔案路徑執行：

`1`	`llama-cli -m C:\Users\knightli\Downloads\gemma-4-e4b-it.gguf`

這樣可以繞過 -hf 下載階段的 SSL 驗證問題，適合先確認模型能不能正常推理。

如果還想繼續用 `-hf` 自動下載

可以手動指定憑證檔路徑，讓程式在目前工作階段裡找到可用的 CA 憑證。

cacert.pem 可以從 curl 官方維護的 CA Extract 頁面取得：

頁面地址：https://curl.se/docs/caextract.html
直接下載：https://curl.se/ca/cacert.pem

如果用瀏覽器下載，打開上面的直接下載地址後儲存為 cacert.pem 即可。也可以在 PowerShell 裡下載到固定目錄，例如：

1
2

New-Item -ItemType Directory -Force C:\certs
Invoke-WebRequest -Uri https://curl.se/ca/cacert.pem -OutFile C:\certs\cacert.pem

下載完成後，在命令列裡設定：

1
2

set SSL_CERT_FILE=C:\certs\cacert.pem
set CURL_CA_BUNDLE=C:\certs\cacert.pem

再重新執行原本的命令：

`1`	`llama-cli -hf unsloth/gemma-4-E4B-it-GGUF`

如果問題確實來自憑證鏈，這種方式通常可以直接解決。

Ubuntu 自動更新 Let's Encrypt 憑證（Certbot + Nginx）

Fri, 03 Apr 2026 00:00:00 +0000

Let’s Encrypt 憑證有效期只有 90 天，正式站點一定要配置自動續期，避免憑證過期導致 HTTPS 報錯。

如果你已經用 Certbot 申請過憑證，通常只差兩件事：

配置定時任務
驗證續期流程是否真的可用

先確認 Certbot 是否已自帶定時任務

在不同系統中，Certbot 可能已經自動安裝定時任務（例如 systemd timer 或 /etc/cron.d/certbot）。

可以先檢查：

`1`	`systemctl list-timers \| grep certbot`

如果已經有有效定時器，一般不需要再重複加 crontab。

手動新增 crontab（推薦範例）

如果你希望自己明確管理續期任務，可用 root 使用者新增：

`1`	`sudo crontab -e`

加入下面這一行（每天凌晨 3 點執行一次）：

`1`	`0 3 * * * certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx" >> /tmp/certbot-renew.log 2>&1`

這條命令的含義：

0 3 * * *：每天 03:00 執行
certbot renew：檢查並續期即將過期的憑證（不會每天都實際續期）
--pre-hook：續期前停止 Nginx，避免 80/443 連接埠衝突（常見於 standalone 模式）
--post-hook：續期後啟動 Nginx
>> /tmp/certbot-renew.log 2>&1：將日誌追加寫入，方便排查

建議先做一次模擬續期

定時任務加好後，先手動驗證流程是否可用：

`1`	`sudo certbot renew --dry-run`

看到模擬續期成功，再交給定時任務長期運行。

常見注意點

如果你使用的是 webroot 或 nginx 插件，很多情況不需要停 Nginx，可改為續期後重載：

`1`	`certbot renew --deploy-hook "systemctl reload nginx"`

certbot renew 只會在憑證接近過期時才進行實際續期，因此每天跑一次是正常且常見做法。
建議把日誌改到可長期追蹤的位置（例如 /var/log/letsencrypt/），更利於維運。

總結

憑證自動續期的關鍵不是「把命令寫上去」，而是「確認命令能完整跑通」。

你只要完成這三步，通常就能穩定運行：

確認是否已有系統自帶定時任務
按需新增 crontab 並保留日誌
用 --dry-run 做一次完整驗證