如何快速建立自簽名 SSL 證書 -- [mkcert]

Weiwen發表於2022-01-20

    我們平時在本地開發時，有時會要求通過 HTTPS 請求來訪問。一個通用的做法是用 OpenSSL 生成自簽證照，然後對 Web 服務進行配置。但 OpenSSL 的命令比較繁瑣，引數也比較複雜，用起來不夠方便。於是我找到了一個替代方案：mkcert，和大家分享下。

專案介紹

    mkcert 是一個用於生成本地自簽名 SSL 證照的開源工具，專案基於 Golang 開發，可跨平臺使用，不需要配置，支援多域名以及自動信任 CA。

準備工作

我準備模擬一個區域網內訪問 Web 服務的場景，因此開始前需要：

    伺服器：用於提供 Web 服務，安裝 nginx 並開啟 SSL，系統為 CentOS 7.8。
    PC 端：一臺 Win10 電腦，用於測試訪問，與伺服器處於同一區域網。

下載安裝

首先，根據自己的系統，下載最新的二進位制檔案，這裡我下載的版本為 v1.4.3：

[root@localhost ~]# wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/v1.4.3/mkcert-v1.4.3-linux-amd64

為二進位制檔案新增可執行許可權，並移動到 $PATH 中：

[root@localhost ~]# chmod +x mkcert
[root@localhost ~]# mv mkcert /usr/local/bin/

檢查 mkcert 的版本：

[root@localhost ~]# mkcert -version
v1.4.3

如果版本顯示正常，說明安裝無誤。接下來，我們看看 mkcert 是如何建立證照的。

使用說明

mkcert 生成證照的命令很簡單，格式如下：

mkcert domain1 [domain2 [...]]

多個域名/IP用空格分隔，一個自簽名的證照可以這樣建立：

[root@localhost ~]# mkcert 192.168.128.134 example.com localhost 127.0.0.1 ::1
Note: the local CA is not installed in the system trust store.
Note: the local CA is not installed in the Firefox and/or Chrome/Chromium trust store.
Run "mkcert -install" for certificates to be trusted automatically 

Created a new certificate valid for the following names
 - "192.168.128.134"
 - "example.com"
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./192.168.128.134+4.pem" and the key at "./192.168.128.134+4-key.pem"

It will expire on 7 September 2023

在這個證照中，192.168.128.134 是伺服器的內網地址。命令執行後會生成兩個檔案：192.168.128.134+4-key.pem 和 192.168.128.134+4.pem，前者是私鑰，後者是證照。

由於伺服器上已經裝了 nginx，也配置了 SSL，所以在命令中可以加入 -cert-file 和 -key-file 引數，將檔案直接生成到對應的目錄裡：

[root@localhost ~]# mkcert -cert-file /etc/nginx/ssl/server.crt -key-file /etc/nginx/ssl/server.key 192.168.128.134 example.com localhost 127.0.0.1 ::1

啟動 nginx 服務，然後從 PC 端訪問 192.168.128.134 檢視效果：
可以看到，瀏覽器訪問到了頁面，但連線是不安全的。而我們在本地開發時，可能會對連線的安全性有要求，那有沒有辦法建立安全的連線呢？

重點操作

正如介紹所言，mkcert 支援自動信任 CA，所以只要安裝好 CA 證照就能解決這個問題。

回到伺服器，執行以下命令將 mkcert 的認證機構安裝到伺服器上：

[root@localhost ~]# mkcert -install

CA 證照的位置可以通過以下命令檢視：

[root@localhost ~]# mkcert -CAROOT
/root/.local/share/mkcert

該目錄中有兩個檔案：rootCA-key.pem 和 rootCA.pem。將 rootCA.pem 複製到 PC 上，並將其字尾改為 .crt。
雙擊 rootCA.crt，根據提示安裝證照，步驟如下：

重啟瀏覽器再次訪問，可以看到連線已經變為安全：
寫在最後

在這篇文章中，我們通過 mkcert 建立了自簽名的 SSL 證照，並建立了安全的訪問連線。與 OpenSSL 相比，mkcert 的使用更加簡單，簡化了在內網搭建 HTTPS 環境的複雜性。

本作品採用《CC 協議》，轉載必須註明作者和本文連結

使用mkcert建立自簽名證書
2019-05-02
mkcert
生成自簽名SSL證書
2017-11-03
自簽名SSL證書安全嗎？
2020-08-19
什麼是自簽名證書？自簽名SSL證書的優缺點?
2021-10-19
使用OpenSSL生成自簽名SSL證書
2019-04-21
自簽名SSL證書有風險嗎？
2022-05-16
什麼是自簽名SSL證書？自簽名證書有哪些安全隱患？
2022-11-14
建立自簽名根證書-中間證書。
2019-07-05
自簽名的SSL證書與專業的SSL證書有哪些區別？
2021-03-18
使用mkcert為localhost新增ssl證書
2024-03-14
mkcertlocalhost
程式碼簽名證書與SSL證書區別
2020-08-03
自簽名證書安全性問題研究https（ssl）
2017-03-29
HTTP
openssl生成自簽名證書
2019-09-22
什麼是伺服器SSL證書是SSL加密證書還是程式碼簽名證書
2022-07-18
伺服器加密
自簽名證書 nginx tomcat
2019-02-28
NginxTomcat
Xamarin Android使用自簽名證書
2021-10-01
Android
從自簽名證書匯出pfx和cer證書
2015-09-16
SSL自簽名證書具備什麼樣的優點和缺點
2023-04-24
Apache 配置https 自簽名證書或者購賣證書
2019-02-13
ApacheHTTP
Shell指令碼實現生成SSL自簽署證書
2019-05-08
指令碼
IIS 7.0上用自簽證書來啟用SSL
2013-12-16
Akka-CQRS（13）- SSL/TLS for gRPC and HTTPS：自簽名證書產生和使用
2019-06-24
TLSRPCHTTP
程式碼簽名證書
2024-03-29
windows下使用makecert命令生成自簽名證書
2015-09-16
Windows
Net8 使用BouncyCastle 生成自簽名證書
2024-03-13
AST
為IP地址簽發SSL證書
2022-03-03
在IIS 7.0上使用自簽證書來啟用SSL
2008-06-23
ios簽名證書：什麼是證書？
2019-12-30
iOS
thawte程式碼簽名證書和Comodo程式碼簽名證書區別
2020-12-29
簡易實現 HTTPS （二）自簽名證書
2020-09-03
HTTP
OpenSSL 證書請求和自簽名命令 req 詳解
2016-07-27
如何區分SSL證書和國密SSL證書
2022-12-27
iOS證書籤名機制&重簽名&防止重簽名
2019-12-04
iOS
EV程式碼簽名證書和標準程式碼簽名證書有何不同？
2020-07-29
Netty5使用自簽證書實現SSL安全連線
2016-02-23
Netty
如何申請SSL證書以及SSL證書的費用
2020-06-23
蘋果簽名證書：共享證書和獨享證書找不同
2020-03-26
蘋果
程式碼簽名證書是如何進行驗證工作的
2023-01-17