mkcert 是一個簡單的工具，旨在為開發(fā)者生成本地的 TLS/SSL 證書，從而能夠在開發(fā)過程中使用 HTTPS 協(xié)議進(jìn)行安全通信。它是一個開源工具，主要用于在開發(fā)和測試環(huán)境中創(chuàng)建受信任的本地證書。

一、mkcert主要特點(diǎn)

(1) 簡化證書生成過程：

mkcert 自動化了生成本地受信任證書的過程，開發(fā)者無需手動創(chuàng)建證書、配置信任鏈或處理瀏覽器的安全警告，極大地簡化了開發(fā)流程。

(2) 兼容性好：

支持多種操作系統(tǒng)（包括 macOS、Linux 和 Windows）。對于跨平臺開發(fā)，mkcert 提供了非常一致的用戶體驗(yàn)。

(3) 快速生成本地證書：

mkcert 能夠在短時間內(nèi)為多個域名生成證書，支持通配符和多個域名以及IP（如 localhost、example.com 、 *.example.com、127.0.0.1 等），非常適合開發(fā)和測試環(huán)境使用。

(4) 開源免費(fèi)：

mkcert 是開源項(xiàng)目，完全免費(fèi)使用。你可以隨意下載和使用它來生成本地證書。

二、安裝和使用

以Windows系統(tǒng)為例，下載鏈接https://github.com/FiloSottile/mkcert/releases/download/v1.4.4/mkcert-v1.4.4-windows-amd64.exe

1. 下載后執(zhí)行安裝命令

mkcert.exe -install

執(zhí)行安裝命令后，出現(xiàn)安裝CA證書的彈窗，點(diǎn)擊是繼續(xù)。

命令執(zhí)行成功，顯示創(chuàng)建了本地CA證書：

執(zhí)行命令查詢根證書文件路徑：

C:\tools>mkcert.exe -CAROOT
C:\Users\Administrator\AppData\Local\mkcert

進(jìn)入C:\Users\Administrator\AppData\Local\mkcert路徑查看根證書和私鑰文件：

執(zhí)行certmgr命令：

C:\tools>certmgr

在彈出的窗口中找到mkcert的根證書，可雙擊打開查看根證書的相關(guān)信息：

2. 執(zhí)行以下命令來為一個或多個域名以及IP生成證書：

C:\tools>mkcert.exe example.com "*.example.com" localhost 127.0.0.1

命令執(zhí)行成功后在當(dāng)前路徑下生成了域名證書文件 example.com+3.pem 和私鑰文件 example.com+3-key.pem

三、證書配置及驗(yàn)證

通過簡單配置nginx來驗(yàn)證https的狀態(tài)：

  listen       443 ssl;
  server_name  localhost;
  ssl_certificate     C:/tools/example.com+3.pem;
  ssl_certificate_key  C:/tools/example.com+3-key.pem;
  #其他配置....

打開瀏覽器訪問https://localhost正常顯示，沒有提示安全警告，說明證書已經(jīng)生效。

查看證書基本信息，顯示有效期為 500 年，可以說是永久使用了

除了使用域名訪問還可以使用IP地址訪問，如 https://127.0.0.1。

總結(jié)

mkcert 是一個為本地開發(fā)創(chuàng)建和管理受信任證書的簡便工具，避免了手動管理和信任問題。它特別適用于需要在開發(fā)環(huán)境中使用 HTTPS 的開發(fā)者，簡化了證書生成和配置過程，使得開發(fā)和測試變得更加高效和安全。