mkcert 是一個簡單的工具，旨在為開發者生成本地的 TLS/SSL 證書，從而能夠在開發過程中使用 HTTPS 協議進行安全通信。它是一個開源工具，主要用于在開發和測試環境中創建受信任的本地證書。

一、mkcert主要特點

(1) 簡化證書生成過程：

mkcert 自動化了生成本地受信任證書的過程，開發者無需手動創建證書、配置信任鏈或處理瀏覽器的安全警告，極大地簡化了開發流程。

(2) 兼容性好：

支持多種操作系統（包括 macOS、Linux 和 Windows）。對于跨平臺開發，mkcert 提供了非常一致的用戶體驗。

(3) 快速生成本地證書：

mkcert 能夠在短時間內為多個域名生成證書，支持通配符和多個域名以及IP（如 localhost、example.com 、 *.example.com、127.0.0.1 等），非常適合開發和測試環境使用。

(4) 開源免費：

mkcert 是開源項目，完全免費使用。你可以隨意下載和使用它來生成本地證書。

二、安裝和使用

以Windows系統為例，下載鏈接https://github.com/FiloSottile/mkcert/releases/download/v1.4.4/mkcert-v1.4.4-windows-amd64.exe

1. 下載后執行安裝命令

mkcert.exe -install

執行安裝命令后，出現安裝CA證書的彈窗，點擊是繼續。

命令執行成功，顯示創建了本地CA證書：

執行命令查詢根證書文件路徑：

C:\tools>mkcert.exe -CAROOT
C:\Users\Administrator\AppData\Local\mkcert

進入C:\Users\Administrator\AppData\Local\mkcert路徑查看根證書和私鑰文件：

執行certmgr命令：

C:\tools>certmgr

在彈出的窗口中找到mkcert的根證書，可雙擊打開查看根證書的相關信息：

2. 執行以下命令來為一個或多個域名以及IP生成證書：

C:\tools>mkcert.exe example.com "*.example.com" localhost 127.0.0.1

命令執行成功后在當前路徑下生成了域名證書文件 example.com+3.pem 和私鑰文件 example.com+3-key.pem

三、證書配置及驗證

通過簡單配置nginx來驗證https的狀態：

  listen       443 ssl;
  server_name  localhost;
  ssl_certificate     C:/tools/example.com+3.pem;
  ssl_certificate_key  C:/tools/example.com+3-key.pem;
  #其他配置....

打開瀏覽器訪問https://localhost正常顯示，沒有提示安全警告，說明證書已經生效。

查看證書基本信息，顯示有效期為 500 年，可以說是永久使用了

除了使用域名訪問還可以使用IP地址訪問，如 https://127.0.0.1。

總結

mkcert 是一個為本地開發創建和管理受信任證書的簡便工具，避免了手動管理和信任問題。它特別適用于需要在開發環境中使用 HTTPS 的開發者，簡化了證書生成和配置過程，使得開發和測試變得更加高效和安全。