访问官网
Github
文档
论文mkcert
mkcert 是一个用于制作本地受信任开发证书的简单工具。它不需要任何配置。
$ mkcert -install
创建了新的本地 CA 💥
本地 CA 现已安装到系统信任存储中!⚡️
本地 CA 现已安装到 Firefox 信任存储中(需要重启浏览器)!🦊
$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
已创建一个对以下名称有效的新证书 📜
- "example.com"
- "*.example.com"
- "example.test"
- "localhost"
- "127.0.0.1"
- "::1"
证书位于 "./example.com+5.pem",密钥位于 "./example.com+5-key.pem" ✅
在开发过程中使用真实证书颁发机构(CA)的证书可能会很危险或不可能(对于像 example.test、localhost 或 127.0.0.1 这样的主机),但自签名证书会导致信任错误。管理自己的 CA 是最佳解决方案,但通常涉及晦涩难懂的命令、专业知识和手动步骤。
mkcert 自动在系统根存储中创建和安装本地 CA,并生成本地受信任的证书。不过,mkcert 不会自动配置服务器使用这些证书,这需要你自己完成。
安装
警告:mkcert 自动生成的
rootCA-key.pem文件可以完全拦截你机器上的安全请求。请不要分享它。
macOS
在 macOS 上,使用 Homebrew
brew install mkcert
brew install nss # 如果你使用 Firefox
或 MacPorts。
sudo port selfupdate
sudo port install mkcert
sudo port install nss # 如果你使用 Firefox
Linux
在 Linux 上,首先安装 certutil。
sudo apt install libnss3-tools
-或-
sudo yum install nss-tools
-或-
sudo pacman -S nss
-或-
sudo zypper install mozilla-nss-tools
然后你可以使用 Linux 版 Homebrew 安装
brew install mkcert
或从源代码构建(需要 Go 1.13+)
git clone https://github.com/FiloSottile/mkcert && cd mkcert
go build -ldflags "-X main.Version=$(git describe --tags)"
或使用预编译的二进制文件。
curl -JLO "https://dl.filippo.io/mkcert/latest?for=linux/amd64"
chmod +x mkcert-v*-linux-amd64
sudo cp mkcert-v*-linux-amd64 /usr/local/bin/mkcert
对于 Arch Linux 用户,mkcert 可在官方 Arch Linux 仓库中获得。
sudo pacman -Syu mkcert
Windows
在 Windows 上,使用 Chocolatey
choco install mkcert
或使用 Scoop
scoop bucket add extras
scoop install mkcert
或从源代码构建(需要 Go 1.10+),或使用预编译的二进制文件。
如果遇到权限问题,请尝试以管理员身份运行 mkcert。
支持的根存储
mkcert 支持以下根存储:
- macOS 系统存储
- Windows 系统存储
- Linux 变体,提供以下方式之一:
update-ca-trust(Fedora、RHEL、CentOS)或update-ca-certificates(Ubuntu、Debian、OpenSUSE、SLES)或trust(Arch)
- Firefox(仅限 macOS 和 Linux)
- Chrome 和 Chromium
- Java(当设置了
JAVA_HOME时)
如果只想将本地根 CA 安装到其中的一部分,可以将 TRUST_STORES 环境变量设置为逗号分隔的列表。选项包括:"system"、"java" 和 "nss"(包括 Firefox)。
高级主题
高级选项
-cert-file 文件, -key-file 文件, -p12-file 文件
自定义输出路径。
-client
生成用于客户端身份验证的证书。
-ecdsa
生成带有 ECDSA 密钥的证书。
-pkcs12
生成 ".p12" PKCS #12 文件,也称为 ".pfx" 文件,
包含证书和密钥,用于旧版应用程序。
-csr CSR
基于提供的 CSR 生成证书。与除 -install 和 -cert-file
之外的所有其他标志和参数冲突。
注意: 您必须将这些选项放在域名列表之前。
示例
mkcert -key-file key.pem -cert-file cert.pem example.com *.example.com
S/MIME
如果提供的名称之一是电子邮件地址,mkcert 会自动生成 S/MIME 证书。
mkcert filippo@example.com
移动设备
要使证书在移动设备上受信任,您需要安装根 CA。它是 mkcert -CAROOT 打印的文件夹中的 rootCA.pem 文件。
在 iOS 上,您可以使用 AirDrop、通过电子邮件发送 CA 给自己,或从 HTTP 服务器提供。打开后,您需要在[设置 > 已下载描述文件]中安装描述文件,然后[在其中启用完全信任]。
对于 Android,您需要安装 CA,然后在应用程序的开发版本中启用用户根证书。请参阅[此 StackOverflow 回答]。
在 Node.js 中使用根证书
Node 不使用系统根存储,因此不会自动接受 mkcert 证书。相反,您需要设置 [NODE_EXTRA_CA_CERTS] 环境变量。
export NODE_EXTRA_CA_CERTS="$(mkcert -CAROOT)/rootCA.pem"
更改 CA 文件的位置
CA 证书及其密钥存储在用户主目录的应用程序数据文件夹中。通常您不必担心这一点,因为安装是自动的,但位置可通过 mkcert -CAROOT 打印。
如果您想管理单独的 CA,可以使用环境变量 $CAROOT 来设置 mkcert 放置和查找本地 CA 文件的文件夹。
在其他系统上安装 CA
在信任存储中安装不需要 CA 密钥,因此您可以导出 CA 证书并使用 mkcert 在其他机器上安装它。
- 在
mkcert -CAROOT中查找rootCA.pem文件 - 将其复制到不同的机器
- 将
$CAROOT设置为其目录 - 运行
mkcert -install
请记住,mkcert 用于开发目的,而非生产环境,因此不应在最终用户的机器上使用,并且您不应导出或共享 rootCA-key.pem。
