mkcert 是一個(gè)簡(jiǎn)單的工具，旨在為開發(fā)者生成本地的 TLS/SSL 證書，從而能夠在開發(fā)過(guò)程中使用 HTTPS 協(xié)議進(jìn)行安全通信。它是一個(gè)開源工具，主要用于在開發(fā)和測(cè)試環(huán)境中創(chuàng)建受信任的本地證書。

一、mkcert主要特點(diǎn)

(1) 簡(jiǎn)化證書生成過(guò)程：

mkcert 自動(dòng)化了生成本地受信任證書的過(guò)程，開發(fā)者無(wú)需手動(dòng)創(chuàng)建證書、配置信任鏈或處理瀏覽器的安全警告，極大地簡(jiǎn)化了開發(fā)流程。

(2) 兼容性好：

支持多種操作系統(tǒng)（包括 macOS、Linux 和 Windows）。對(duì)于跨平臺(tái)開發(fā)，mkcert 提供了非常一致的用戶體驗(yàn)。

(3) 快速生成本地證書：

mkcert 能夠在短時(shí)間內(nèi)為多個(gè)域名生成證書，支持通配符和多個(gè)域名以及IP（如 localhost、example.com 、 *.example.com、127.0.0.1 等），非常適合開發(fā)和測(cè)試環(huán)境使用。

(4) 開源免費(fèi)：

mkcert 是開源項(xiàng)目，完全免費(fèi)使用。你可以隨意下載和使用它來(lái)生成本地證書。

二、安裝和使用

以Windows系統(tǒng)為例，下載鏈接https://github.com/FiloSottile/mkcert/releases/download/v1.4.4/mkcert-v1.4.4-windows-amd64.exe

1. 下載后執(zhí)行安裝命令

mkcert.exe -install

執(zhí)行安裝命令后，出現(xiàn)安裝CA證書的彈窗，點(diǎn)擊是繼續(xù)。

命令執(zhí)行成功，顯示創(chuàng)建了本地CA證書：

執(zhí)行命令查詢根證書文件路徑：

C:\tools>mkcert.exe -CAROOT
C:\Users\Administrator\AppData\Local\mkcert

進(jìn)入C:\Users\Administrator\AppData\Local\mkcert路徑查看根證書和私鑰文件：

執(zhí)行certmgr命令：

C:\tools>certmgr

在彈出的窗口中找到mkcert的根證書，可雙擊打開查看根證書的相關(guān)信息：

2. 執(zhí)行以下命令來(lái)為一個(gè)或多個(gè)域名以及IP生成證書：

C:\tools>mkcert.exe example.com "*.example.com" localhost 127.0.0.1

命令執(zhí)行成功后在當(dāng)前路徑下生成了域名證書文件 example.com+3.pem 和私鑰文件 example.com+3-key.pem

三、證書配置及驗(yàn)證

通過(guò)簡(jiǎn)單配置nginx來(lái)驗(yàn)證https的狀態(tài)：

  listen       443 ssl;
  server_name  localhost;
  ssl_certificate     C:/tools/example.com+3.pem;
  ssl_certificate_key  C:/tools/example.com+3-key.pem;
  #其他配置....

打開瀏覽器訪問(wèn)https://localhost正常顯示，沒(méi)有提示安全警告，說(shuō)明證書已經(jīng)生效。

查看證書基本信息，顯示有效期為 500 年，可以說(shuō)是永久使用了

除了使用域名訪問(wèn)還可以使用IP地址訪問(wèn)，如 https://127.0.0.1。

總結(jié)

mkcert 是一個(gè)為本地開發(fā)創(chuàng)建和管理受信任證書的簡(jiǎn)便工具，避免了手動(dòng)管理和信任問(wèn)題。它特別適用于需要在開發(fā)環(huán)境中使用 HTTPS 的開發(fā)者，簡(jiǎn)化了證書生成和配置過(guò)程，使得開發(fā)和測(cè)試變得更加高效和安全。