碼上快樂

相關內容    簡體    繁體

用mkcert生成SSL,內網完美起跑https

本文轉載自   查看原文   2021-09-02 09:41   100 

linux系統:

在CentOS和Fedora中安裝mkcert類似於Ubuntu/Debian安裝,只需要先安裝nss-tools工具:

sudo yum install nss-tools


安裝完成后,下載二進制包,截止至2020-5-9,最新版本為1.4.1:

wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/v1.4.1/mkcert-v1.4.1-linux-amd64


下載文件后,使文件可執行並將二進制文件放在/usr/loa/bin下:

chmod +x mkcert
sudo mv mkcert /usr/local/bin

 

二、mkcert的使用方法
1、安裝CA根證書到本地

mkcert -install

2、生成證書

mkcert 127.0.0.1 localhost //后面還可以繼續空格添加其他域名或IP地址,默認是pem格式
mkcert -pkcs12 192.168.10.123 //生成p12格式的正式iis可以用,默認密碼為:“changeit”
mkcert -client 192.168.10.123 //客戶端證書,默認是pem格式
mkcert -pkcs12 -client 192.168.10.123 //生成p12格式客戶端證書,win用戶可以直接導入,默認密碼為:“changeit”


更多的使用方法,可以用以下命令查看

mkcert -help

Usage of mkcert:

$ mkcert -install
Install the local CA in the system trust store.

$ mkcert example.org
Generate "example.org.pem" and "example.org-key.pem".

$ mkcert example.com myapp.dev localhost 127.0.0.1 ::1
Generate "example.com+4.pem" and "example.com+4-key.pem".

$ mkcert "*.example.it"
Generate "_wildcard.example.it.pem" and "_wildcard.example.it-key.pem".

$ mkcert -uninstall
Uninstall the local CA (but do not delete it).

Advanced options:

-cert-file FILE, -key-file FILE, -p12-file FILE
Customize the output paths.

-client
Generate a certificate for client authentication.

-ecdsa
Generate a certificate with an ECDSA key.

-pkcs12
Generate a ".p12" PKCS #12 file, also know as a ".pfx" file,
containing certificate and key for legacy applications.

-csr CSR
Generate a certificate based on the supplied CSR. Conflicts with
all other flags and arguments except -install and -cert-file.

-CAROOT
Print the CA certificate and key storage location.

$CAROOT (environment variable)
Set the CA certificate and key storage location. (This allows
maintaining multiple local CAs in parallel.)

$TRUST_STORES (environment variable)
A comma-separated list of trust stores to install the local
root CA into. Options are: "system", "java" and "nss" (includes
Firefox). Autodetected by default.

三、其他
mkcert不一定要在服務器上安裝生成,只要把生成的證書導入或部署到web服務器上就可以了,然后把生成出來的client證書安裝到各客戶端電腦上即可。

以IIS為例:將生成出來的192.168.10.123.p12文件,copy到服務器上,打開IIS管理器,在【服務器證書】里,直接導入即可。再把192.168.10.123-client.p12下發給個客戶端電腦,直接雙擊安裝即可。

注意,p12格式證書的默認密碼為:changeit

如果需要更改這個默認密碼,我能想到的就是生成pem格式,然后在https://www.chinassl.net/ssltools/convert-ssl.html里轉換格式,順便把密碼改了!

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Windows用mkcert生成SSL,內網完美起跑https mkcert本地 HTTPS 加密證書生成工具 choco 安裝 和 mkcert 本地https HTTPS SSL證書在線生成 本地https快速解決方案——mkcert nginx+tomat https ssl 部署 完美解決方案 使用mkcert工具自簽https證書 java ssl https 連接詳解 生成證書 Nginx支持HTTPS,生成SSL證書 Https系列之一:https的簡單介紹及SSL證書的生成
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM