choco 安裝 和 mkcert 本地https

原文鏈接：https://blog.spiritling.cn/posts/4cb12659/

Choco

命令行安裝

直接拷貝執行即可，注意需要管理員身份運行

cmd 安裝：

@"%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command "iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))" && SET "PATH=%PATH%;%ALLUSERSPROFILE%\chocolatey\bin"

PowerShell 安裝：

Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

檢查安裝是否成功

choco -v

設置安裝路徑

修改路徑后，需要添加安裝路徑下的bin目錄到path環境中。

有時安裝完畢后，下載的軟件無法使用，有可能是bin目錄沒有在path環境中。

常用指令

Commands

• choco list -li 查看本地安裝的軟件
• choco search nodejs 查找安裝包
• choco install sublimetext3 下載
• choco uninstall sublimetext3 卸載
• choco upgrade sublimetext3 更新（update）

mkcert

mkcert 是一個使用 go 語言編寫的生成本地自簽證書的小程序，具有跨平台，使用簡單，支持多域名，自動信任 CA 等一系列方便的特性可供本地開發時快速創建 https 環境使用。

安裝 mkcert

安裝方式也非常簡單，由於 go 語言的靜態編譯和跨平台的特性，官方提供各平台預編譯的版本，直接下載到本地，給可執行權限(Linux/Unix 需要)就可以了。下載地址: https://github.com/FiloSottile/mkcert/releases/latest

此外，mkcert 已經推送至 Homebrew, MacPorts, Linuxbrew, Chocolatey, Scoop 等包管理平台中，也可以直接借助對應的包管理平台安裝。如:

choco install mkcert

安裝成功后，應該可以使用 mkcert 命令了：

PS C:\Users\abcfy\projects> mkcert
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨
Usage of mkcert:

        $ mkcert -install
        Install the local CA in the system trust store.

        $ mkcert example.org
        Generate "example.org.pem" and "example.org-key.pem".

        $ mkcert example.com myapp.dev localhost 127.0.0.1 ::1
        Generate "example.com+4.pem" and "example.com+4-key.pem".

        $ mkcert "*.example.it"
        Generate "_wildcard.example.it.pem" and "_wildcard.example.it-key.pem".

        $ mkcert -uninstall
        Uninstall the local CA (but do not delete it).

For more options, run "mkcert -help".

mkcert 基本使用

從上面自帶的幫助輸出來看，mkcert 已經給出了一個基本的工作流，規避了繁雜的 openssl 命令，幾個簡單的參數就可以生成一個本地可信的 https 證書了。更詳細的用法直接看官方文檔就好。

將 CA 證書加入本地可信 CA

$ mkcert -install
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

僅僅這么一條簡單的命令，就幫助我們將 mkcert 使用的根證書加入了本地可信 CA 中，以后由該 CA 簽發的證書在本地都是可信的。

在 Windows 的可信 CA 列表可以找到該證書

生成自簽證書

生成自簽證書的命令十分簡單:

mkcert domain1 [domain2 [...]]

直接跟多個要簽發的域名或 ip 就行了，比如簽發一個僅本機訪問的證書(可以通過 127.0.0.1 和 localhost，以及 ipv6 地址::1 訪問)

mkcert localhost 127.0.0.1 ::1
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

Created a new certificate valid for the following names 📜
 - "localhost"
 - "127.0.0.1"
 - "::1"

The certificate is at "./localhost+2.pem" and the key at "./localhost+2-key.pem" ✅

通過輸出，我們可以看到成功生成了 localhost+2.pem 證書文件和 localhost+2-key.pem 私鑰文件，只要在 web server 上使用這兩個文件就可以了。

默認生成的證書格式為 PEM(Privacy Enhanced Mail)格式，任何支持 PEM 格式證書的程序都可以使用。比如常見的 Apache 或 Nginx 等，也可以使用參數指定生成的格式，比如 windows 的 pfx 格式證書

高級參數

-cert-file FILE, -key-file FILE, -p12-file FILE
	Customize the output paths.

-client
	Generate a certificate for client authentication.

-ecdsa
	Generate a certificate with an ECDSA key.

-pkcs12
	Generate a ".p12" PKCS #12 file, also know as a ".pfx" file,
	containing certificate and key for legacy applications.

-csr CSR
	Generate a certificate based on the supplied CSR. Conflicts with
	all other flags and arguments except -install and -cert-file.

pem 證書生成

不需要額外的任何操作，使用 mkcert domain.com，即可生成 domain.com.pem 和 domain.com-key.pem

pfx 證書生成

密碼：changeit

C:\Users\albertxiao>mkcert -pkcs12 *.example.com
Using the local CA at "C:\Users\albertxiao\AppData\Local\mkcert" ✨

Created a new certificate valid for the following names 📜
 - "*.example.com"

Reminder: X.509 wildcards only go one level deep, so this won't match a.b.example.com ℹ️

The PKCS#12 bundle is at "./_wildcard.example.com.p12" ✅

The legacy PKCS#12 encryption password is the often hardcoded default "changeit" ℹ️

crt 證書

mkcert -key-file localhost.key -cert-file localhost.crt localhost

局域網構建

有時候我們需要在局域網內測試 https 應用，這種環境可能不對外，因此也無法使用像 Let's encrypt 這種免費證書的方案給局域網簽發一個可信的證書，而且 Let's encrypt 本身也不支持認證 Ip。

先來回憶一下證書可信的三個要素:

• 由可信的 CA 機構簽發
• 訪問的地址跟證書認證地址相符
• 證書在有效期內

如果期望我們自簽證書在局域網內使用，以上三個條件都需要滿足。很明顯自簽證書一定可以滿足證書在有效期內，那么需要保證后兩條。我們簽發的證書必須匹配瀏覽器的地址欄，比如局域網的 ip 或者域名，此外還需要信任 CA。

我們先重新簽發一下證書，加上本機的局域網 ip 認證:

mkcert localhost 127.0.0.1 ::1 192.168.31.170
Using the local CA at "C:\Users\abcfy\AppData\Local\mkcert" ✨

Created a new certificate valid for the following names 📜
 - "localhost"
 - "127.0.0.1"
 - "::1"
 - "192.168.31.170"

The certificate is at "./localhost+3.pem" and the key at "./localhost+3-key.pem" ✅

再次驗證發現使用https://192.168.31.170本機訪問也是可信的。然后我們需要將CA證書發放給局域網內其他的用戶。

mkcert -CAROOT
C:\Users\abcfy\AppData\Local\mkcert

使用 mkcert -CAROOT 命令可以列出 CA 證書的存放路徑

可以看到 CA 路徑下有兩個文件 rootCA-key.pem 和 rootCA.pem 兩個文件，用戶需要信任 rootCA.pem 這個文件。將 rootCA.pem 拷貝一個副本，並命名為 rootCA.crt(因為 windows 並不識別 pem 擴展名，並且 Ubuntu 也不會將 pem 擴展名作為 CA 證書文件對待)，將 rootCA.crt 文件分發給其他用戶，手工導入。

windows 導入證書的方法是雙擊這個文件，在證書導入向導中將證書導入受信任的根證書頒發機構:

Ubuntu 的做法可以將證書文件(必須是 crt 后綴)放入/usr/local/share/ca-certificates/，然后執行 sudo update-ca-certificates

Android 和 IOS 信任 CA 證書的做法參考官方文檔。