使用mkcert工具创建本地TLS证书

字数统计: 444字   |   阅读时长≈ 1分

通常在本地开发环境,要想使用tls/ssl环境,除了之前文章说的使用openssl命令生成,还有更简单的方式创建证书,下面介绍mkcert工具,它能够创建在本地开发环境中由操作系统和浏览器信任的tls证书。

一、mkcert的特点

  • 适合本地开发环境、内网环境使用
  • 安装时自动加入系统证书信任链
  • 支持多域名SAN(Subject Alternative Names)
  • 支持生成客户端证书,可用于mTLS双向认证

二、安装

1
2
3
4
brew install mkcert
brew install nss # 如果使用firefox

mkcert -install

其它系统:Linux和Windows系统安装

三、生成服务器证书

默认证书会在当前路径生成,下面会生成服务器端(serverAuth)ca.loc.dev.pem(公钥证书)ca.loc.dev-key.pem(私钥证书)

1
mkcert ca.loc.dev

四、生成客户端证书

下面命令显示指定参数**-client**,生成客户端证书(clientAuth)。不需要mTLS则不用生成客户端证书

1
mkcert -client mqtt_client_1

五、证书使用示例

5.1 nginx

1
2
3
4
5
6
7
8
server {
  listen 443 ssl;
  server_name ca.loc.dev;

  ssl_certificate     ca.loc.dev.pem;
  ssl_certificate_key ca.loc.dev-key.pem;
  ...
}

5.2 EMQX双向认证

5.2.1 查看CA根证书

下面命令查看mkcert安装的CA根证书所在目录,一般文件名为rootCA.pem,下面步骤配置双向认证会用到

mkcert -CAROOT

5.2.2 配置emqx监听器

在emqx管理后台,编辑ssl监听器,分别设置服务器公钥证书、服务器私钥证书、CA根证书

emqx双向认证

5.2.3 使用mqttx测试

mqttx是专门用来调试mqtt服务端的客户端工具,我们在创建连接的配置中,设置客户端证书,配置如下

mqttx mtls配置

六、相关链接

  1. mkcert开源地址
  2. MQTTX地址

谢谢你请我喝咖啡

BTC
USDT_TRC20

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

95后双子男一枚。感性,悲观的乐观主义者
爱动漫,爱音乐,爱电影,追求健康的生活方式
崇尚高可用,简洁优雅的编码方式。