手把手教你使用 mkcert 创建一个受信任的本地 SSL 证书

Posted by Mike on 2019-01-11

您是否厌倦了在本地开发项目中使用不受信任的 SSL 证书?维护自己的证书颁发机构(CA)是一个痛苦的事情,这过程中需要用到神秘的程序和命令。在本指南中,我将向您展示一种在没有 CA 的情况下在本地开发计算机上使用受信任 SSL 证书的简单方法。

mkcert 是一个简单的零配置工具,由 Filippo Valsorda 使用 Go 编写,用于制作具有您喜欢的任何名称的本地可信开发证书,无需任何配置。这将对您有所帮助,因为无法从可信证书颁发机构获取没有有效 DNS 记录的本地名称的证书。让我们深入研究安装和使用 mkcert

项目地址:https://github.com/FiloSottile/mkcert

如果你想申请一个线上可以使用免费证书,也可以参考「手把手教你免费申请支持通配符的 SSL 证书」和「Let’s Encrypt 免费通配符 SSL 证书申请教程」两篇教程。

在不同平台下安装 mkcert

  1. 如何在 Ubuntu / Debian 上安装 mkcert

要在任何 Ubuntu 或 Debian 系统上安装 mkcert,首先要安装 certutil 依赖项:

1
$ sudo apt-get updatesudo apt install wget libnss3-tools

安装完成后,下载 mkcert 来自 Github 的二进制包。检查 mkcert 发布页面以获取最新版本。在撰写本文时,最新版本是。v1.4.0

1
$ export VER="v1.4.0" && wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/${VER}/mkcert-${VER}-linux-amd64

下载文件后,使文件可执行并将二进制文件放在 /usr/local/bin 下面。

1
2
$ chmod +x  mkcert
$ sudo mv mkcert /usr/local/bin
  1. 如何在 CentOS / Fedora 上安装 mkcert

在 CentOS 和 Fedora 上安装 mkcert 类似于 Ubuntu / Debian 安装,您只需要先安装 nss-tools工具。

安装 nss-tools

1
$ sudo yum install nss-tools

安装完成后,下载 mkcert 二进制包,就像安装 Ubuntu 一样。

1
$ export VER="v1.4.0" && wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/${VER}/mkcert-${VER}-linux-amd64

下载文件后,使文件可执行并将二进制文件放在 /usr/local/bin 下面。

1
2
$ chmod +x  mkcert
$ sudo mv mkcert /usr/local/bin
  1. 如何在 Arch Linux 上安装 mkcert

对于 Arch Linux,您可以使用上述过程或使用 AUR 安装 mkcert。对于通过 AUR 安装你需要使用 AUR 助手,推荐 yayyay 是 Arch Linux/Manjaro 的最佳 AUR 助手。

安装 yay 后,使用以下命令安装 mkcert

1
2
$ yay -S --noconfirm --needed go
$ yay -S --noconfirm --needed mkcert
  1. 如何在 macOS 上安装 mkcert

对于 macOS 用户,您可以下载二进制包或者从中 brew 安装 mkcert

1
2
$ brew install mkcert
$ brew install nss # if you use Firefox

对于二进制安装:

1
$ export VER="v1.4.0" && wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/${VER}/mkcert-${VER}-linux-amd64

下载文件后,使文件可执行并将二进制文件放在 /usr/local/bin 下面。

1
2
$ chmod +x  mkcert
$ sudo mv mkcert /usr/local/bin

如何使用 mkcert 生成本地受信任的 SSL 证书

  1. 生成本地受信任的 SSL 证书

mkcert 支持以下根存储:

  • macOS system store
  • Windows system store
  • update-ca-trust (Fedora、RHEL、CentOS)
  • update-ca-certificates (Ubuntu、Debian)
  • Firefox(仅限macOS和Linux)
  • Chrome and Chromium
  • Java( JAVA_HOME )

要获取 mkcert 的帮助页面,请传递该选项 --help

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Usage of mkcert:

$ mkcert -install
Install the local CA in the system trust store.

$ mkcert example.org
Generate "example.org.pem" and "example.org-key.pem".

$ mkcert example.com myapp.dev localhost 127.0.0.1 ::1
Generate "example.com+4.pem" and "example.com+4-key.pem".

$ mkcert '*.example.com'
Generate "_wildcard.example.com.pem" and "_wildcard.example.com-key.pem".

$ mkcert -pkcs12 example.com
Generate "example.com.p12" instead of a PEM file.

$ mkcert -uninstall
Uninstall the local CA (but do not delete it).

Change the CA certificate and key storage location by setting $CAROOT,
print it with "mkcert -CAROOT".

您需要首先在系统信任库中安装本地 CA.

1
2
3
4
$ mkcert -install

Created a new local CA at "/home/myfreax/.local/share/mkcert" ?
The local CA is now installed in the system trust store! ⚡️

完成后,您可以开始为您的域名生成 SSL 证书。例如,我将生成一个对以下名称有效的新证书。

1
2
3
4
5
6
"mydomain.com"
"*.mydomain.co"
"myapp.net"
"localhost"
"127.0.0.1"
"::1"

你可以使用如下命令对上面的域名生成证书。

1
$ mkcert mydomain.com '*.mydomain.co' myapp.net localhost 127.0.0.1 ::1

命令执行后,会输出以下内容。

1
2
3
4
5
6
7
8
9
10
Using the local CA at "/root/.local/share/mkcert" ✨

Created a new certificate valid for the following names ?
- "mydomain.com"
- "*.mydomain.co"
- "myapp.net"
- "localhost"
- "127.0.0.1"
- "::1"
The certificate is at "./mydomain.com+5.pem" and the key at "./mydomain.com+5-key.pem" ✅

证书生成完后,你也可以查看证书的内容。

1
$ cat ./mydomain.com+5.pem
  1. 测试 mkcert 证书

现在让我们使用一个简单的 Nginx 配置文件测试 mkcert 证书。这个例子是在 Ubuntu 16.04 系统上完成的。

  1. 安装一个 Nginx 服务器
1
$ sudo apt-get install nginx
  1. 创建一个简单的网页
1
$ echo 'Hello Hi-Linux.com !' > /var/www/test/index.html
  1. 配置一个简单的 HTTPS 服务器
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$ cat /etc/nginx/conf.d/test.conf 
server {
listen 80;
server_name mydomain.com myapp.net;
root /var/www/test;
}

server {
listen *:443 ssl http2;
root /var/www/test;
server_name mydomain.com myapp.net;
ssl_certificate /home/jmutai/mydomain.com+5.pem;
ssl_certificate_key /home/jmutai/mydomain.com+5-key.pem;
}
  1. 确保您的 /etc/hosts 文件包含已使用域名的记录。
1
2
3
4
$ cat/etc/hosts

127.0.0.1 myapp.net
127.0.0.1 mydomain.com

打开浏览器并使用提供的域名,你应该得到一个带有绿色安全图标的地址栏,至此创建一个受信任的本地 SSL 证书就完成了。

来源:myfreax

原文:http://t.cn/AiRQ3uFJ

题图:来自谷歌图片搜索

版权:本文版权归原作者所有

投稿:欢迎投稿,邮箱: editor@hi-linux.com