本地https快速解决方案——mkcert

原文链接

前言

在本地开发中,有时候我们经常需要模拟https环境,比如PWA应用要求必须使用https访问。在传统的解决方案中,我们需要使用自签证书,然后在http server中使用自签证书。由于自签证书浏览器不信任,为了解决浏览器信任问题我们需要将自签证书使用的CA证书添加到系统或浏览器的可信CA证书中,来规避这个问题。

以前这些步骤需要一系列繁琐的openssl命令生成,尽管有脚本化的方案帮助我们简化输入这些命令(可以参考以前的blog: Nginx SSL快速双向认证配置)。但是仍然觉得对本地开发不那么友好,有些繁重了。本文将介绍一种更加简单友好的方式生成本地https证书,并且信任自签CA的方案——mkcert

mkcert简介

mkcert是一个使用go语言编写的生成本地自签证书的小程序,具有跨平台,使用简单,支持多域名,自动信任CA等一系列方便的特性可供本地开发时快速创建https环境使用。

安装方式也非常简单,由于go语言的静态编译和跨平台的特性,官方提供各平台预编译的版本,直接下载到本地,给可执行权限(Linux/Unix需要)就可以了。下载地址: https://github.com/FiloSottile/mkcert/releases/latest

此外,mkcert已经推送至Homebrew, MacPorts, Linuxbrew, Chocolatey, Scoop等包管理平台中,也可以直接借助对应的包管理平台安装。如:

brew install mkcert  # Homebrew/Linuxbrew
choco install mkcert  # Chocolatey

安装成功后,应该可以使用mkcert命令了:

PS C:\Users\abcfy\projects> mkcert
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨
Usage of mkcert:

        $ mkcert -install
        Install the local CA in the system trust store.

        $ mkcert example.org
        Generate "example.org.pem" and "example.org-key.pem".

        $ mkcert example.com myapp.dev localhost 127.0.0.1 ::1
        Generate "example.com+4.pem" and "example.com+4-key.pem".

        $ mkcert "*.example.it"
        Generate "_wildcard.example.it.pem" and "_wildcard.example.it-key.pem".

        $ mkcert -uninstall
        Uninstall the local CA (but do not delete it).

For more options, run "mkcert -help".

mkcert基本使用

从上面自带的帮助输出来看,mkcert已经给出了一个基本的工作流,规避了繁杂的openssl命令,几个简单的参数就可以生成一个本地可信的https证书了。更详细的用法直接看官方文档就好。

将CA证书加入本地可信CA

$ mkcert -install
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

仅仅这么一条简单的命令,就帮助我们将mkcert使用的根证书加入了本地可信CA中,以后由该CA签发的证书在本地都是可信的。

在Windows的可信CA列表可以找到该证书:

image.png

在MacOS的证书列表同样也可以找到:


image.png

image.png

同理,在Linux系统中也是类似的效果,这里就不演示了。

生成自签证书

生成自签证书的命令十分简单:

mkcert domain1 [domain2 [...]]

直接跟多个要签发的域名或ip就行了,比如签发一个仅本机访问的证书(可以通过127.0.0.1localhost,以及ipv6地址::1访问)

 mkcert localhost 127.0.0.1 ::1
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

Created a new certificate valid for the following names 📜
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./localhost+2.pem" and the key at "./localhost+2-key.pem" ✅

通过输出,我们可以看到成功生成了localhost+2.pem证书文件和localhost+2-key.pem私钥文件,只要在web server上使用这两个文件就可以了。

使用生成的证书文件

默认生成的证书格式为PEM(Privacy Enhanced Mail)格式,任何支持PEM格式证书的程序都可以使用。比如常见的ApacheNginx等,这里我们用python自带的SimpleHttpServer演示一下这个证书的效果(代码参考来自: https://gist.github.com/RichardBronosky/644cdfea681518403f5409fa16823c1f):

python2版本(MacOS自带的版本):

#!/usr/bin/env python2

import BaseHTTPServer, SimpleHTTPServer
import ssl

httpd = BaseHTTPServer.HTTPServer(('0.0.0.0', 443), SimpleHTTPServer.SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile='./localhost+2.pem', keyfile='./localhost+2-key.pem', server_side=True, ssl_version=ssl.PROTOCOL_TLSv1_2)
httpd.serve_forever()

python3版本:

#!/usr/bin/env python3

import http.server
import ssl

httpd = http.server.HTTPServer(('0.0.0.0', 443), http.server.SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile='./localhost+2.pem', keyfile='./localhost+2-key.pem', server_side=True, ssl_version=ssl.PROTOCOL_TLSv1_2)
httpd.serve_forever()

使用python simple-https-server.py运行即可(注意Linux/Unix下绑定443端口需要root权限,你可能需要使用sudo提权)

image.png

证书效果

局域网内使用

有时候我们需要在局域网内测试https应用,这种环境可能不对外,因此也无法使用像Let's encrypt这种免费证书的方案给局域网签发一个可信的证书,而且Let's encrypt本身也不支持认证Ip。

先来回忆一下证书可信的三个要素:

  • 由可信的CA机构签发
  • 访问的地址跟证书认证地址相符
  • 证书在有效期内

如果期望我们自签证书在局域网内使用,以上三个条件都需要满足。很明显自签证书一定可以满足证书在有效期内,那么需要保证后两条。我们签发的证书必须匹配浏览器的地址栏,比如局域网的ip或者域名,此外还需要信任CA。

我们先重新签发一下证书,加上本机的局域网ip认证:

 mkcert localhost 127.0.0.1 ::1 192.168.31.170
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

Created a new certificate valid for the following names 📜
 - "localhost"
 - "127.0.0.1"
 - "::1"
 - "192.168.31.170"

The certificate is at "./localhost+3.pem" and the key at "./localhost+3-key.pem" ✅

再次验证发现使用https://192.168.31.170本机访问也是可信的。然后我们需要将CA证书发放给局域网内其他的用户。

 mkcert -CAROOT
C:\Users\abcfy\AppData\Local\mkcert

使用mkcert -CAROOT命令可以列出CA证书的存放路径

 ls $(mkcert -CAROOT)


    目录: C:\Users\abcfy\AppData\Local\mkcert


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----  2019-04-09-星期二  上午 1           2484 rootCA-key.pem
                             2:16
-a----  2019-04-09-星期二  上午 1           1651 rootCA.pem
                             2:16

可以看到CA路径下有两个文件rootCA-key.pemrootCA.pem两个文件,用户需要信任rootCA.pem这个文件。将rootCA.pem拷贝一个副本,并命名为rootCA.crt(因为windows并不识别pem扩展名,并且Ubuntu也不会将pem扩展名作为CA证书文件对待),将rootCA.crt文件分发给其他用户,手工导入。

windows导入证书的方法是双击这个文件,在证书导入向导中将证书导入受信任的根证书颁发机构:

image.png

MacOS的做法也一样,同样选择将CA证书导入到受信任的根证书办法机构。

Ubuntu的做法可以将证书文件(必须是crt后缀)放入/usr/local/share/ca-certificates/,然后执行sudo update-ca-certificates

Android和IOS信任CA证书的做法参考官方文档

在局域网其他计算机就可以访问https而不报警了。我在另一台虚拟机Ubuntu上使用curl测试结果:

$ curl -I https://192.168.31.170
HTTP/1.0 200 OK
Server: SimpleHTTP/0.6 Python/3.6.8
Date: Tue, 09 Apr 2019 05:22:12 GMT
Content-type: text/html; charset=utf-8
Content-Length: 1794

无警告,加上-v参数输出还会告诉证书是可信的。

其他一些高级用法

以上我们演示了一些mkcert最基本的用法,非常简单。如果我们打开mkcert --help看帮助的话,还会发现很多高级用法。

比如-cert-file FILE, -key-file FILE, -p12-file FILE可以定义输出的证书文件名。

-client可以产生客户端认证证书,用于SSL双向认证。之前的文章介绍过使用openssl脚本的(Nginx SSL快速双向认证配置),可以对比下。

-pkcs12命令可以产生PKCS12格式的证书。java程序通常不支持PEM格式的证书,但是支持PKCS12格式的证书。通过这个程序我们可以很方便的产生PKCS12格式的证书直接给Java程序使用,这里就不演示了。

其他高级用法不做介绍了,各位有兴趣可以根据自己的实际需求和场景进行发掘吧。

小结

本篇文章我们介绍了一个好用的小工具mkcert,简化我们在本地搭建https环境的复杂性,无需操作繁杂的openssl实现自签证书了,这个小程序就可以帮助我们自签证书,在本机使用还会自动信任CA,非常方便。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容