1. 工具简介
mkcert 是由 Filo Sottile 开源创建的一款「零配置」的命令行工具,用于在本地开发环境创建受信任的 HTTPS/TLS 证书。功能概括如下:
- 自动在本地生成一个根 CA(Certificate Authority)并安装至平台信任根。
- 使用该根 CA 为任意主机名/IP/通配域生成签发证书(public + key)。
- 目标是简化本地开发环境(如 localhost、127.0.0.1、*.local.test 等)中 HTTPS 搭建,并避免浏览器出现「不安全连接」警告。
一句话:在你本地开发时,只需几条命令即可拥有浏览器信任的 HTTPS 证书,而无需繁琐配置。
2. 为什么需要 HTTPS 和 mkcert?
2.1 为什么在本地也用 HTTPS?
| 场景 | 问题 | 结果 |
|---|---|---|
| 开发 SPA/PWA 或使用 Service Worker | 许多浏览器要求「安全上下文(Secure Context)」,即必须 HTTPS 或 localhost 。 | 如果用 HTTP 可能某些功能不能用或浏览器限制更多。 |
| 模拟生产环境(生产环境几乎总用 HTTPS) | 本地用 HTTP → 上线用 HTTPS,可能有差异/调试偏差。 | 提高研发环境与生产环境的一致性。 |
| 浏览器安全策略加强 | 浏览器越来越强调「非 HTTPS =不安全」。在本地虽然绕过,但体验差、影响信任。 | 利用 HTTPS 可消除「不安全」红标、提升体验。 |
2.2 传统方法的问题
- 自签名证书(自 SSL)虽然能 HTTPS,但浏览器通常不信任,会弹出警告。
- 手工管理 CA/证书(如用 openssl、手动导入根证书)流程复杂、易错、维护麻烦。 因此,引入 mkcert 的初衷:自动化、本地信任、开发者友好。
2.3 mkcert 的优势
- 零配置启动(“requires no configuration”)
- 协助多个操作系统(macOS、Windows、Linux)及浏览器信任链。
- 可生成带多个域名/IP/通配符的证书,一次搞定。
3. 安装与环境支持
3.1 支持的平台与信任根
根据官方 README,mkcert 支持将本地 CA 安装到以下“根信任存储”中:
- macOS 系统根证书库
- Windows 环境根证书库
- Linux 发行版支持 update-ca-certificates(Ubuntu/Debian)、update-ca-trust(RHEL)、trust(Arch)等方式。
- Firefox 专用(macOS + Linux)基于其使用 NSS 证书库。
- Java (当 JAVA_HOME 设置且需要)。
3.2 安装方法(概览)
| 操作系统 | 安装方法简述 |
|---|---|
| macOS | brew install mkcert;若用 Firefox 还需 brew install nss。 |
| Linux | 先安装 nss 工具(如 libnss3-tools),然后用 brew 或手动下载。 |
| Windows | 可用 Chocolatey: choco install mkcert;或 Scoop。 |
3.3 安全提醒
警告:rootCA-key.pem 档案一旦泄露,任何人都可能伪装你机器上的 HTTPS 流量。切勿共享 root CA 私钥。
4. 安装
# 第一步:安装本地 CA(只做一次)
mkcert -install
# 输出类似:
# Created a new local CA
# The local CA is now installed in the system trust store! ⚡️
# The local CA is now installed in the Firefox trust store (requires browser restart)! :contentReference[oaicite:24]{index=24}
# 第二步:在项目目录生成证书(指定多个域名/IP)
mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
# 输出:
# Created a new certificate valid for the following names …
# The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅ :contentReference[oaicite:25]{index=25}
5. 常用参数详解
| 参数 | 功能说明 |
|---|---|
-install | 安装本地 CA 并加入信任根,只需执行一次。 |
-cert-file FILE, -key-file FILE | 指定输出的证书/私钥文件路径。 ([GitHub][1]) |
-p12-file FILE, -pkcs12 | 生成 .p12(或 .pfx)格式文件,适用于必须 PKCS#12 格式的应用。 ([GitHub][1]) |
-ecdsa | 使用 ECDSA 算法生成证书,而非默认的 RSA。 ([GitHub][1]) |
-csr CSR | 根据已有 CSR 生成证书,而不是直接指定域名。 ([GitHub][1]) |
-client | 为客户端认证用途生成证书(客户端 TLS 证书)。 ([GitHub][1]) |
$CAROOT 环境变量 | 自定义 CA 根证书与私钥的存储路径。 ([GitHub][1]) |
6. 典型使用场景
6.1 本地 Web 开发(静态站/SPA/后端)
想在 localhost(或自定义 .dev/.test 域名)下使用 HTTPS 调试前端、后端。使用 mkcert 几乎“开箱即用”。
6.2 微服务/API 创建(包含 HTTPS 、WebSocket)
如你制作的 API 或 WebSocket 后端要求 TLS 连接,使用 mkcert 可为 127.0.0.1、localhost、甚至内部 IP 生成可信证书。
6.3 移动/浏览器 调试
在 iOS/Android 或浏览器中开发时,也可将根 CA 材料导入设备/浏览器以实现真实 HTTPS 环境。
6.4 团队/CI 环境
团队合作或 CI/CD 中需要统一 HTTPS 开发环境,可将 mkcert CA 导出到其他机器。
7. 优点与局限(优缺点)
优点
- 飞快、简单、几乎零设置即可生成可信证书。
- 支持多平台、多浏览器、Java 信任链。
- 支持通配符、多域名、多 IP ,一次搞定。
- 极大提升开发体验:在本地就能 “绿色锁” 访问。
局限/需要注意的点
- 仅限研发环境:mkcert 所生成的证书不应用于生产环境。项目文档明确指出该工具为研发使用。
- 根 CA 私钥需严格保护;泄露风险高。
- 某些复杂环境(如浏览器外部信任链、移动设备、团队统一 CA 管理)可能仍需额外设置。
8. 常见坑与实用技巧
常见误区
- 以为「只生成 .pem」就完事了:还需将 .pem 配置到服务器、重启并确保浏览器信任。
- 忽略根 CA 安装:如果跳过了 mkcert -install,浏览器仍然会弹“证书不可信”。
- 团队协作忽略 CA 导出:若多人制作,建议将根 CA 导出并统一安装在共同设备。
- Android 信任挑战:Android 默认不信任用户根证书,可能必须额外开启 “用户根信任”。
9. 小结
倘若你正在开发本地 Web 项目、API 服务、微服务或前端 SPA ,且希望启用 HTTPS 避免浏览器警告、模拟生产环境、提升开发体验,那么 mkcert 几乎是“必装利器”。从安装、生成、配置到启动测试,整个流程非常清晰。只要注意「仅用于开发环境」和根 CA 安全,就可以安心使用。