windows mkcert 配置https证书【配置本地环境】解决局域网本地 https 访问问题

# 1. 介绍HTTPS协议及其重要性

HTTPS（HyperText Transfer Protocol Secure）是一种通过加密传输数据的网络协议，相比于传统的HTTP协议，HTTPS通过SSL/TLS协议对数据进行加密，提供更高的安全性。在网络通信中，HTTPS扮演着重要的角色，可以有效保护用户数据的隐私安全，防止被中间人攻击、窥探、篡改等网络安全问题。

## 1.1 什么是HTTPS协议

HTTPS是一种安全的传输协议，其目的是保护网络通信中的数据安全。通过使用SSL/TLS协议对数据进行加密，确保数据在传输过程中不被窃取或篡改。

## 1.2 HTTPS在网络通信中的作用与重要性

- 提供数据的机密性：通过加密数据，防止第三方获取敏感信息。
- 确保数据的完整性：可以防止数据在传输过程中被篡改，保证数据的完整性。
- 鉴别服务器的身份：HTTPS可以验证服务器的身份，用户可以确保他们正在与正确的服务器通信，防止中间人攻击。

在互联网时代，随着网络安全问题的日益增多，使用HTTPS协议已成为保护数据安全的重要手段。

# 2. 认识mkcert工具

在本章节中，我们将介绍mkcert工具的定义、作用以及为什么选择mkcert工具来生成本地HTTPS证书。

# 3. 安装和配置mkcert工具

在这一章节中，我们将介绍如何下载、安装和配置mkcert工具，以便生成本地环境所需的HTTPS证书。通过以下步骤，我们可以顺利完成mkcert工具的安装和配置。

#### 3.1 下载和安装mkcert工具

首先，我们需要在官方GitHub仓库(https://github.com/FiloSottile/mkcert) 中下载最新版本的mkcert工具。根据您的操作系统，选择合适的安装方式：

- 对于Windows系统，您可以下载.exe文件并将其添加到系统的PATH环境变量中。
- 对于macOS系统，您可以使用Homebrew工具以以下命令进行安装：

brew install mkcert
brew install nss  # 如果您使用Firefox, 请同时安装nss

- 对于Linux系统，您可以使用以下命令进行安装：

sudo apt install libnss3-tools

#### 3.2 配置mkcert工具生成本地HTTPS证书的证书机构

在安装完mkcert工具后，我们需要执行以下命令来生成本地HTTPS证书的证书机构：

mkcert -install

该命令将为您的操作系统设置一个本地的Root CA，在生成证书时，mkcert工具会使用该Root CA签发证书，确保证书的有效性和安全性。

通过以上步骤，我们成功下载、安装并配置了mkcert工具，为之后生成本地HTTPS证书做好了准备。接下来，我们将在章节四中详细介绍如何使用mkcert工具生成本地HTTPS证书。

# 4. 生成本地HTTPS证书

在这一章中，我们将使用mkcert工具来生成本地HTTPS证书，确保我们的开发环境能够安全地支持HTTPS协议。

#### 4.1 使用mkcert工具生成本地HTTPS证书

首先，确保已经安装了mkcert工具，并按照上一章中的步骤配置了证书机构。接下来，我们将使用以下命令来生成本地HTTPS证书：

mkcert -key-file key.pem -cert-file cert.pem localhost

这将在当前目录下生成名为`key.pem`和`cert.pem`的私钥和证书文件，同时将`localhost`设置为证书的域名。你也可以替换`localhost`为你实际使用的域名。

#### 4.2 检查生成的本地HTTPS证书是否完整有效

生成证书后，我们可以通过以下代码段来验证证书的有效性：

import ssl

context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
context.load_cert_chain(certfile='cert.pem', keyfile='key.pem')
context.check_hostname = False  # 在本地环境下可以关闭hostname检查

# 进行HTTPS请求，并输出证书信息
with ssl.create_connection(('localhost', 443)) as sock:
    with context.wrap_socket(sock, server_hostname='localhost') as ssock:
        print(ssock.version())
        print(ssock.cipher())
        print(ssock.getpeercert())

通过以上代码，我们可以验证生成的本地HTTPS证书是否可用，并获取证书相关的信息，确保证书生成正确。

在本章中，我们成功使用mkcert工具生成了本地HTTPS证书，并验证了证书的有效性，为下一步的配置本地服务器以启用HTTPS做好了准备。

# 5. 配置本地开发环境支持HTTPS

在这一章节中，我们将讨论如何配置本地开发环境以支持HTTPS，确保我们生成的本地HTTPS证书能被本地服务器正确识别和使用。

## 5.1 手动配置本地开发环境支持HTTPS

首先，我们需要确保本地服务器能够识别并使用我们生成的本地HTTPS证书。一般来说，可以通过以下步骤手动配置本地开发环境支持HTTPS：

### 步骤一：将生成的本地HTTPS证书导入本地开发环境

使用mkcert工具生成的本地HTTPS证书是一对.pem格式的文件，我们需要在本地开发环境中导入这些证书，以便服务器能够使用它们进行HTTPS通信。

### 步骤二：配置本地服务器以使用HTTPS证书

根据本地服务器的类型，我们需要修改服务器配置文件，指定使用我们生成的本地HTTPS证书。一般来说，服务器配置中会有SSL证书路径和密钥路径的配置项，我们需要将其指向我们生成的.pem文件。

## 5.2 配置本地服务器以启用生成的本地HTTPS证书

在这一步，我们需要启动本地服务器，并确保服务器成功加载并使用了我们生成的本地HTTPS证书。可以通过访问HTTPS方式的本地站点来验证证书是否配置正确。

通过以上步骤，我们可以手动配置本地开发环境以支持HTTPS，并使用我们生成的本地HTTPS证书来加密通信，提高数据传输的安全性。接下来，我们将进入下一章节，介绍如何解决局域网内本地HTTPS访问问题。

# 6. 解决局域网本地HTTPS访问问题

在一般情况下，配置好本地环境的HTTPS证书后，通过localhost或127.0.0.1可以正常访问，但在局域网中却无法直接使用HTTPS协议进行访问，接下来将介绍如何解决这个问题。

### 6.1 进行局域网环境设置，允许HTTPS访问

首先，在局域网中使用HTTPS协议进行访问，需要确保局域网内的设备可以信任生成的本地HTTPS证书。这可以通过以下步骤来实现：

1. **导出根证书**：将生成的根证书导出，可以是.crt或.pem格式，然后在局域网中的其他设备上安装该根证书，以确保其他设备信任该证书。可以通过将证书文件发送到其他设备或者通过局域网共享文件的方式实现。

2. **安装根证书**：在其他设备上安装导出的根证书，根据设备类型和操作系统的不同，安装方式也有所区别，一般可以在设备的安全设置或证书管理中找到安装证书的选项。

### 6.2 处理局域网环境下的HTTPS访问限制问题

在安装和信任根证书后，仍然可能遇到由防火墙或安全软件引起的HTTPS访问限制问题。为了解决这些问题，可以进行以下操作：

1. **防火墙设置**：检查防火墙设置，确保端口号为443的HTTPS流量不被阻止，并且允许局域网内设备间的HTTPS通信。

2. **安全软件检查**：部分安全软件可能会干扰或阻止本地HTTPS访问，可以临时关闭或设置例外规则，确保本地生成的HTTPS证书可以正常使用。

通过以上设置，您应该可以顺利地在局域网中访问本地生成的HTTPS证书，从而实现局域网内的安全通信。