一個(gè)一鍵即可生成SSL證書的工具,，零配置，從此告別繁瑣,，Star 46K ,！

沖天香陣 2024-05-22 發(fā)布于甘肅

展開全文

相信很多運(yùn)維的同學(xué)都搞過網(wǎng)站配置HTTPS訪問。本質(zhì)上HTTPS不是一種協(xié)議,，而是在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全 ,。所以HTTPS 的安全基礎(chǔ)是 SSL。SSL 即 Secure Sockets Layer,，是網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,，主要在傳輸層與應(yīng)用層之間對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。而SSL證書是一種數(shù)字證書,。也經(jīng)常被大家通俗地稱為“HTTPS證書”,、“CA證書”、“服務(wù)器證書”以及“SSL”等,。

網(wǎng)站配置HTTPS不難,，但是比較那麻煩的SSL證書生成。目前SSL證書一般有如下方法獲?。?/section>

SSL服務(wù)商購(gòu)買：可以從頒發(fā)和管理SSL證書的服務(wù)商（云服務(wù)商,、CA廠商）購(gòu)買SSL證書。
使用免費(fèi)的SSL證書：一些組織提供了免費(fèi)的SSL證書,，但是很多時(shí)候免費(fèi)證書通常需要每三個(gè)月續(xù)簽一次,。
自簽名證書：對(duì)于企業(yè)內(nèi)部服務(wù)或應(yīng)用網(wǎng)站，可以采用自簽名證書（但自簽名證書在瀏覽器中通常會(huì)觸發(fā)安全警告,，因?yàn)闆]有經(jīng)過受信任的第三方認(rèn)證）

所以很多時(shí)候面向內(nèi)部服務(wù)或者應(yīng)用網(wǎng)站時(shí),，我們都需要自簽SSL證書，實(shí)現(xiàn)HTTPS訪問,。OpenSSL是使用最多生成SSL證書的工具之一,，但是OpenSSL生成SSL證書的步驟也是相對(duì)的繁瑣:

#創(chuàng)建私鑰（key）openssl genrsa -out yourdomain.key 2048#創(chuàng)建證書簽名請(qǐng)求（CSR）openssl req -new -key yourdomain.key -out yourdomain.csr

#在執(zhí)行上述命令時(shí)，系統(tǒng)會(huì)提示您輸入證書的信息,，例如國(guó)家名稱,、組織名稱、信用證書名稱等,。

#自簽名SSL證書openssl x509 -req -days 365 -in yourdomain.csr -signkey yourdomain.key -out yourdomain.crt

#如果需要生成CA證書（非常復(fù)雜的用途,，如SSL終結(jié)），可以創(chuàng)建一個(gè)新的CA私鑰和公鑰：

openssl genrsa -out ca.key 2048openssl req -new -x509 -days 365 -key ca.key -out ca.crt#使用CA簽名你的SSL證書：openssl x509 -req -days 365 -in yourdomain.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yourdomain.crt

# 這些步驟會(huì)生成私鑰,、CSR和最終的SSL證書,，你可以將yourdomain.crt和yourdomain.key用于你的web服務(wù)器配置SSL,。

在上面過程中還包含了很多交互的過程未展示，期間需要確認(rèn)輸入各種信息,，難搞

所以,，今天給大家介紹的一個(gè)一鍵即可生成SSL證書的工具-mkcert

—

mkcert 介紹

一句話介紹mkcert：一個(gè)生成本地 HTTPS 加密證書的工具，一個(gè)命令就可以生成證書,，不需要任何配置,，支持Windows、macOS和Linux平臺(tái),。

?? 項(xiàng)目信息

# github地址https://github.com/FiloSottile/mkcert

??功能特性

功能特性就一個(gè)：一個(gè)命令就可以生成證書,，不需要任何配置。

—

mkcert 安裝

macOS

brew install mkcertbrew install nss # if you use Firefox# 或者sudo port selfupdatesudo port install mkcertsudo port install nss # if you use Firefox

Linux

# 先安裝certutilsudo apt install libnss3-tools    -or-sudo yum install nss-tools    -or-sudo pacman -S nss    -or-sudo zypper install mozilla-nss-tools# 直接下載可執(zhí)行文件curl -JLO 'https://dl./mkcert/latest?for=linux/amd64'chmod  x mkcert-v*-linux-amd64sudo cp mkcert-v*-linux-amd64 /usr/local/bin/mkcert

Windows

choco install mkcert# 或者scoop bucket add extrasscoop install mkcert

—

mkcert 使用

mkcert 生成證書的命令很簡(jiǎn)單,，如下：

mkcert domain1 [domain2 [...]]

我們模擬一個(gè)HTTPS訪問網(wǎng)站,，網(wǎng)站地址為osm.com：

創(chuàng)建網(wǎng)站工作目錄

#創(chuàng)建網(wǎng)站目錄mkdir -p /opt/https-nginx/certmkdir -p /opt/https-nginx/etc

創(chuàng)建一個(gè)自簽證書：

cd mkdir -p /opt/https-nginx/certmkcert myosm.com# 將會(huì)看到以下信息The certificate is at './myosm.com.pem' and the key at './myosm.com-key.pem' ?
It will expire on 21 August 2026

準(zhǔn)備index.html文件

vim /opt/https-nginx/index.html# index.html 內(nèi)容如下<!DOCTYPE html><html><head> <title>歡迎頁面</title> <style> body { font-family: Arial, sans-serif; background-color: #f7f7f7; text-align: center; } #welcome { margin: 0 auto; width: 400px; padding: 20px; background-color: #fff; border: 1px solid #ddd; border-radius: 10px; box-shadow: 0 2px 4px rgba(0, 0, 0, 0.1); } h1 { color: #555; font-size: 24px; margin-bottom: 20px; } p { color: #666; font-size: 14px; line-height: 1.5; }</style></head><body> <div id='welcome'> <h1>歡迎來到有趣的開源集市</h1> <p>分享有趣的開源產(chǎn)品、技術(shù),、市場(chǎng)趨勢(shì)等內(nèi)容,。</p> </div></body></html>~

準(zhǔn)備nginx.conf文件

cd /opt/https-nginx/etcvim nginx.conf# nginx.conf內(nèi)容如下worker_processes  auto;events {    worker_connections  1024;}http {    server {        listen 443 ssl;        server_name localhost;        charset utf-8;        ssl_certificate /etc/nginx/ssl/myosm.com.pem;        ssl_certificate_key /etc/nginx/ssl/myosm.com-key.pem;
        location / {            root /usr/share/nginx/html;            index index.html index.htm;            charset utf-8;        }    }}

啟動(dòng)https應(yīng)用

docker run -d -p 443:443 -v /opt/https-nginx/etc/nginx.conf:/etc/nginx/nginx.conf -v /opt/https-nginx/index.html:/usr/share/nginx/html/index.html -v /opt/https-nginx/cert/:/etc/nginx/ssl/ --name https-nginx nginx:latest

訪問界面

這時(shí)我們發(fā)現(xiàn)雖然啟用了https服務(wù)，并且訪問也沒有問題,，但是瀏覽器會(huì)提示連接不安全,。這個(gè)是因?yàn)樵L問的PC上沒有安裝好 CA 證書，需要本地訪問PC安裝CA證書,。

在部署https應(yīng)用的服務(wù)器上繼續(xù)執(zhí)行

mkcert -instalThe local CA is already installed in the system trust store! The local CA is already installed in the Firefox and/or Chrome/Chromium trust store!# 查看CA目錄mkcert -CAROOT/root/.local/share/mkcert

該目錄中有兩個(gè)文件：rootCA-key.pem 和 rootCA.pem。將 rootCA.pem 復(fù)制到 PC 上,，并將其后綴改為 .crt,。

雙擊 rootCA.crt，根據(jù)提示安裝證書即可（注意選擇受信任的根證書頒發(fā)機(jī)構(gòu)）,。

重啟瀏覽器,，重新訪問網(wǎng)站，可以看到連接已經(jīng)變?yōu)榘踩?/span>

—

最后

通過 mkcert 可以快速為個(gè)人或小型網(wǎng)站,、企業(yè)內(nèi)部網(wǎng)站等生成自簽名證書,。與 OpenSSL 相比，mkcert 的使用更加簡(jiǎn)單,，大大簡(jiǎn)化了在內(nèi)網(wǎng)生成SSL證書的復(fù)雜性,。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布,，不代表本站觀點(diǎn),。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息,，謹(jǐn)防詐騙,。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：沖天香陣 > 《漏洞》

舉報(bào)/認(rèn)領(lǐng)