mkcert

    是 GO 编写的,一个简单的零配置的用来生成自签证书的工具。

    下面给一个简单的示例,在本地生成自签证书,并使用让 nc 使用生成的证书。

    mkcert 自动生成并安装一个本地 CA 到 root stores,并且生成 locally-trusted 证书。mkcert 不会自动使用证书来配置服务器,不过,这取决于你。

    1. $ brew install mkcert
    2. $ brew install nss # 如果用 Firefox 的话

    Linux

    在 Linux 上,首先要安装 certutil

    1. #    -or-
    2. $ sudo yum install nss-tools
    3. #    -or-
    4. $ sudo pacman -S nss
    5. #    -or-
    6. $ sudo zypper install mozilla-nss-tools

    然后可以使用 Homebrew on Linux 来安装。

    1. $ brew install mkcert

    或者从源码构建(要求 Go 1.13+)

    又或者使用 。

    1. $ curl -JLO "https://dl.filippo.io/mkcert/latest?for=linux/amd64"
    2. $ chmod +x mkcert-v*-linux-amd64
    1. $ sudo pacman -S mkcert

    Windows

    使用 

    1. $ choco install mkcert

    或者使用 Scoop

    或者从源码构建(要求 Go 1.10+) ,或者使用 预构建的二进制文件

    如果遇到权限问题,请使用管理员运行 mkcert

    mkcert 支持以下 root stores:

    • macOS system store
    • Windows system store
    • Linux 发行版提供
      • update-ca-trust (Fedora,RHEL,CentOS)或者
      • trust (Arch)
    • Firefox (仅 macOS 和 Linux)
    • Chrome 和 Chromium
    • Java(当 JAVA_HOME 被设置时)

    为了把 local root CA 装到这些 root stores 中,你可以设置 TRUST_STORES 环境变量到一个逗号分隔的 list。有这些选项:”system”,”java” 和 “nss”(包括了 Firefox)。

    1. -cert-file FILE, -key-file FILE, -p12-file FILE
    2.     # 自定义输出路径.
    3. -client # 生成供客户端认证使用的证书.
    4. -ecdsa  # 生成使用一个 ECDSA (一种椭圆曲线签名算法)key 来生成证书.
    5. -pkcs12 # 生成一个 ".p12" PKCS #12 文件,也可以被识别为 ".pfx" 文件,
    6.         # 包含 cert 和 key for legacy applications.
    7. -csr CSR # 生成一个给予 CSR(证书签名申请) 的证书。

    SSL 证书 什么是CSR?-常见问题-文档中心-腾讯云

    请注意! 你必须把这些选项放在域名列表之前。

    例如

    1. mkcert -key-file key.pem -cert-file cert.pem example.com *.example.com

    S/MIME (邮件安全证书)

    1. mkcert filippo@example.com

    对于要让移动设备信任证书的情况,你得安装 root CA。就是 rootCA.pem 这个文件,可以通过 mkcert -CAROOT 打印出这个文件所在的目录。

    在 iOS 上,你也可以使用 AirDrop,把 CA 邮件发给你自己,或者通过一个 HTTP server 提供它。在打开它之后,你需要 install the profile in Settings > Profile Downloaded and then 。

    对于 Android ,你得安装这个 CA 然后在应用程序的开发版本中启用 user roots。可以看一看这个 StackOverflow 回答

    用 Node.js 来使用这个 root

    Node 不使用 system root store,所以它不会自动接受 mkcert 证书。相反,你得设置 NODE_EXTRA_CA_CERTS 环境变量。

    改变 CA 文件的位置

    CA 证书和它的 key 被存储在用户家目录的一个文件夹中。一般来说你不会想去关注它的位置,因为它会被自动装载。但是你可以通过 mkcert -CAROOT 来打印这个目录位置。

    如果你想要管理单独的 CA 们,你可以使用 \$CAROOT 环境变量来设置 mkcert 放置和寻找 CA files 的路径。

    安装 trust store 不需要 CA key(只要 CA),所以你可以导出 CA,并且使用 mkcert 来安装到其它机器上。

    • 找到 rootCA.pem 文件,可以用 mkcert -CAROOT 找到对应目录。
    • 把它 copy 到别的机器上。
    • 运行 mkcert -install(arch linux 可以 sudo trust anchor --store rootCA.pem,其它发行版可以用自带的命令手动添加来信任 CA)

    请千万记住 mkcert 是用于开发目的的,不建议用于生产,所以它不应该被用到用户终端上,并且你不应该导出或者共享 。