windows mkcert 配置https证书【安装 MKCERT】执行命令安装 CA 根证书

# 1. 介绍

## 什么是mkcert？
在开发和测试环境中，通常需要为网站配置HTTPS以保证数据传输安全。而mkcert是一个简单的工具，可以帮助我们生成本地开发和测试环境所需的有效的SSL/TLS证书，而无需支付费用或涉及复杂的配置。

## 为什么需要配置https证书？
HTTPS协议在数据传输过程中使用SSL/TLS加密机制，可以有效防止数据在传输过程中被窃听或篡改，提高了数据安全性。在实际开发和测试过程中，使用HTTPS可以更好地模拟生产环境，避免出现由于协议不同而导致的问题，并且让开发和测试更加真实可靠。

# 2. 准备工作

在进行配置https证书之前，我们需要进行一些准备工作，确保顺利完成整个过程。

### 确认操作系统为Windows

首先，确保你的操作系统为Windows系统，因为mkcert工具适用于Windows操作系统。

### 下载并安装mkcert工具

1. 访问mkcert GitHub仓库：[mkcert GitHub](https://github.com/FiloSottile/mkcert)
2. 在Release页面中，找到针对Windows的最新版本mkcert.exe文件并下载。
3. 将下载的mkcert.exe文件移动到一个你方便访问的目录，比如`C:\Program Files\mkcert`。
4. 打开命令提示符或PowerShell，切换到mkcert.exe文件所在目录。

以上是准备工作的具体步骤，一旦完成，我们就可以继续进行后续的https证书配置。

# 3. 生成CA根证书

在配置https证书之前，需要先生成一个自签名的CA（证书颁发机构）根证书，用于签署后续生成的https证书。

#### 使用mkcert生成CA根证书

运行以下命令来生成CA根证书：

mkcert -install

#### 导入CA根证书到系统

生成的CA根证书位于系统的`~/.local/share/mkcert/`目录下，可以在其中找到`rootCA-key.pem`和`rootCA.pem`文件，这两个文件是CA根证书的私钥和证书。

接下来，需要将生成的CA根证书导入系统，以便系统信任该CA颁发的证书。根据操作系统不同，具体导入步骤可能会有所不同，一般可以通过浏览器的设置或操作系统的证书管理工具进行导入。

# 4. 生成证书

一旦我们生成了CA根证书并将其安装在系统中，接下来就可以生成实际的https证书了。

**执行命令生成https证书**：

# 使用mkcert生成证书
mkcert -cert-file server.crt -key-file server.key localhost

- `server.crt` 是生成的证书文件
- `server.key` 是生成的私钥文件
- `localhost` 是你的域名，在这里我们使用`localhost`作为示例

**证书保存位置和格式说明**：

通常生成的证书文件和私钥文件会保存在当前工作目录中。这里生成的证书格式为`.crt`，私钥格式为`.key`。

一旦生成了证书和私钥，我们就可以继续配置https服务。

# 5. 配置https服务

在这一部分中，我们将介绍如何将生成的证书配置到web服务器，并测试https服务是否正常工作。

### 将生成的证书配置到web服务器

首先，我们需要将生成的证书配置到我们的web服务器中。以Nginx服务器为例，我们可以编辑Nginx的配置文件，将证书路径和密钥路径指定为我们生成的https证书和密钥路径。

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;

    # Other SSL configurations can be added here

    location / {
        # Your server configuration goes here
    }
}

确保将`/path/to/your/certificate.crt`和`/path/to/your/private.key`替换为实际生成的证书路径和密钥路径。

### 测试https服务是否正常工作

完成证书配置后，我们需要重启Nginx服务器以使更改生效。接下来，我们可以使用浏览器访问你的域名（https://yourdomain.com），如果一切配置正确，你将看到浏览器地址栏中显示安全的锁图标。

通过点击锁图标，你可以查看证书详细信息，确保证书是由我们生成的CA根证书签发的。

这样，我们就成功地配置了https服务，并通过生成的证书来保护我们的网站流量。

### 总结

在本节中，我们学习了如何将生成的https证书配置到web服务器中，以启用https服务。配置https服务可以提高网站的安全性，保护用户数据的传输安全。记得定期更新证书，确保网站始终处于安全状态。

### 其他相关注意事项

- 私钥的安全性非常重要，确保不要泄霩私钥给未授权的人员。
- 定期更新证书，推荐使用有效期较短的证书以增强安全性。
- 可以考虑使用自动化工具来管理证书的更新和部署，如Let's Encrypt等。

希望这一部分内容能帮助你成功配置https服务，并确保网站的安全性。

# 6. 总结

在本文中，我们详细介绍了如何使用mkcert工具在Windows操作系统上生成自签名的https证书。通过以下步骤，我们成功完成了配置https证书的过程：

1. 确认操作系统为Windows，并下载安装mkcert工具。
2. 使用mkcert生成CA根证书，并将CA根证书导入系统信任证书库。
3. 执行命令生成https证书，注意证书保存的位置和格式。
4. 将生成的证书配置到web服务器，并测试https服务是否正常工作。

通过本文的指导，您可以轻松地为您的web应用程序配置https证书，从而提高数据传输的安全性。记得定期更新证书，并注意证书的有效期，以确保您的https服务始终正常运行。祝您的https服务顺利运行！

### 其他相关注意事项

在使用自签名证书时，仍需注意以下几点：

- 自签名证书在公共环境下可能会引发安全警告，建议用于开发和测试环境。
- 要在生产环境中使用，请考虑购买由权威证书颁发机构签发的证书，以获得更广泛的信任。
- 定期检查证书的有效期，及时更新证书以避免服务中断。

希望本文对您有所帮助，如果您有任何疑问或需要进一步的帮助，请随时联系我们。感谢阅读！