在本地开发中,有时候我们经常需要模拟https环境,比如PWA应用要求必须使用https访问。在传统的解决方案中,我们需要使用自签证书,然后在http server中使用自签证书。由于自签证书浏览器不信任,为了解决浏览器信任问题我们需要将自签证书使用的CA证书添加到系统或浏览器的可信CA证书中,来规避这个问题。
以前这些步骤需要一系列繁琐的openssl命令生成,尽管有脚本化的方案帮助我们简化输入这些命令(可以参考以前的blog: Nginx SSL快速双向认证配置)。但是仍然觉得对本地开发不那么友好,有些繁重了。本文将介绍一种更加简单友好的方式生成本地https证书,并且信任自签CA的方案——mkcert。
mkcert简介
mkcert是一个使用go语言编写的生成本地自签证书的小程序,具有跨平台,使用简单,支持多域名,自动信任CA等一系列方便的特性可供本地开发时快速创建https环境使用。
安装方式也非常简单,由于go语言的静态编译和跨平台的特性,官方提供各平台预编译的版本,直接下载到本地,给可执行权限(Linux/Unix需要)就可以了。下载地址: https://github.com/FiloSottile/mkcert/releases/latest
下载到本地后,在dos命令框中去执行这个exe文件
mkcert基本使用
从上面自带的帮助输出来看,mkcert已经给出了一个基本的工作流,规避了繁杂的openssl命令,几个简单的参数就可以生成一个本地可信的https证书了。更详细的用法直接看官方文档就好。
将CA证书加入本地可信CA
$ mkcert -install
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨
仅仅这么一条简单的命令,就帮助我们将mkcert使用的根证书加入了本地可信CA中,以后由该CA签发的证书在本地都是可信的。
生成自签证书
生成自签证书的命令十分简单:
mkcert domain1 [domain2 [...]]
直接跟多个要签发的域名或ip就行了,比如签发一个仅本机访问的证书(可以通过127.0.0.1和localhost,以及ipv6地址::1访问)
mkcert localhost 127.0.0.1 ::1
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨
Created a new certificate valid for the following names 📜
- "localhost"
- "127.0.0.1"
- "::1"
The certificate is at "./localhost+2.pem" and the key at "./localhost+2-key.pem" ✅
通过输出,我们可以看到成功生成了localhost+2.pem证书文件和localhost+2-key.pem私钥文件,只要在web server上使用这两个文件就可以了。
通过nginx 进行配置后,就可以访问了
局域网内使用
使用mkcert -CAROOT命令可以列出CA证书的存放路径
ls $(mkcert -CAROOT)
目录: C:\Users\abcfy\AppData\Local\mkcert
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 2019-04-09-星期二 上午 1 2484 rootCA-key.pem
2:16
-a---- 2019-04-09-星期二 上午 1 1651 rootCA.pem
2:16
可以看到CA路径下有两个文件rootCA-key.pem和rootCA.pem两个文件,用户需要信任rootCA.pem这个文件。将rootCA.pem拷贝一个副本,并命名为rootCA.crt(因为windows并不识别pem扩展名,并且Ubuntu也不会将pem扩展名作为CA证书文件对待),将rootCA.crt文件分发给其他用户,手工导入。
windows导入证书的方法是双击这个文件,在证书导入向导中将证书导入 受信任的根证书颁发机构:
1459
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
