mkcert: создание локальных сертификатов для разработки в Linux

Если вы когда-либо пытались настроить HTTPS локально для разработки, то, скорее всего, столкнулись с трудностями. Создание самоподписанного сертификата, настройка доверия браузера к нему и работа с предупреждениями могут стать настоящей головной болью. Именно здесь на помощь приходит mkcert

mkcert — это простой инструмент, который позволяет разработчикам и системным администраторам создавать локально доверенные SSL-сертификаты для разработки и тестирования. Это избавляет от надоедливых предупреждений в браузере. Да, он бесплатный, с открытым исходным кодом и отлично работает в Linux.

В этой статье мы расскажем вам, что такое mkcert, как он работает, как его установить и как эффективно использовать в среде Linux.

Зачем нам нужен локальный HTTPS?

Прежде чем мы перейдём к mkcert, давайте вкратце рассмотрим, зачем вам вообще нужен HTTPS в вашей среде разработки.

• Современным веб-приложениям нужен HTTPS — для многих API, сервис-воркеров, файлов cookie и функций браузера требуется безопасное соединение. Без HTTPS ваше приложение может вести себя по-разному в режиме разработки и в рабочей среде.
• Соответствие производственным средам — если в вашей производственной среде используется HTTPS (как и должно быть), разумно тестировать все в одинаковых условиях во время разработки.
• Совместимость с браузерами и тестирование — Chrome, Firefox и другие современные браузеры применяют более строгие политики безопасности в отношении небезопасных источников (HTTP).

Но вот в чём загвоздка: браузеры не любят самоподписанные сертификаты и выдают пугающие предупреждения, если сертификат не подписан доверенным центром сертификации (ЦС).

Что такое mkcert?

 — это инструмент командной строки, который создаёт локальные сертификаты для разработки.

Он делает это с помощью:

• Создание собственного центра сертификации (ЦС) в вашей системе
• Как настроить ОС и браузеры на доверие к этому локальному ЦС
• Создание TLS-сертификатов, подписанных этим центром сертификации, чтобы браузеры им доверяли

Проще говоря, mkcert действует как ваш личный центр сертификации (ЦС), и ваш браузер считает сертификаты, которые он генерирует, действительными. Никаких предупреждений, никаких взломов браузера — только чистый, надёжный HTTPS для локальной разработки.

Установка mkcert в Linux

Перед установкой mkcert необходимо убедиться, что доступны необходимые системные библиотеки, которые помогают mkcert интегрироваться с хранилищем сертификатов вашей системы, особенно для поддержки Firefox (который использует базу данных NSS).

sudo apt install libnss3-tools -y #на базе Debian
sudo dnf install nss-tools -y #на базе RHEL 
sudo zypper install mozilla-nss-tools #на базе OpenSUSE
sudo pacman -S nss #на базе Arch

Далее рассмотрим два основных способа установки mkcert: с помощью менеджера пакетов вашего дистрибутива Linux или путем загрузки бинарного файла вручную. Выберите способ, который подходит для вашей системы.

Вариант А: установите mkcert через менеджер пакетов

 
sudo apt install mkcert #на базе Debian
sudo dnf install mkcert #на базе RHEL
sudo zypper install mkcert #на базе OpenSUSE
sudo pacman -S mkcert #на базе Arch

Вариант Б: установка вручную (для других дистрибутивов)

Если mkcert недоступен в репозиториях вашего дистрибутива или вы предпочитаете последнюю версию, вы можете загрузить и установить бинарный файл вручную.

Сначала скачайте последнюю версию mkcert (https://github.com/FiloSottile/mkcert/releases) с GitHub:

wget https://github.com/FiloSottile/mkcert/releases/download/v1.4.4/mkcert-v1.4.4-linux-amd64

Затем переместите его в каталог PATH в вашей системе и сделайте исполняемым:

sudo mv mkcert-v1.4.4-linux-amd64 /usr/local/bin/mkcert
sudo chmod +x /usr/local/bin/mkcert

Наконец, проверьте установку, посмотрев версию:

mkcert --version

Если вы видите номер версии, значит, mkcert уже готов к использованию на вашем компьютере с Linux.

Доверие к локальному центру сертификации

После установки mkcert следующим шагом будет создание локального центра сертификации (ЦС) и добавление его в список доверенных. Это разовая настройка, которая гарантирует, что любой сертификат, созданный с помощью mkcert, будет автоматически доверен вашей системой и браузером.

Для начала просто введите в терминале следующую команду:

mkcert -install

Приведенная выше команда создает новый локальный центр сертификации и сохраняет его в вашем домашнем каталоге по адресу ~/.local/share/mkcert, а затем добавляет этот центр сертификации в хранилище доверенных сертификатов вашей системы Linux, чтобы операционная система распознавала все подписанные им сертификаты как действительные.

Если у вас установлен пакет libnss3-tools (а он должен быть установлен, если вы используете Firefox), mkcert также добавит центр сертификации во внутреннюю базу данных сертификатов Firefox, а это значит, что Firefox будет без проблем доверять вашим сертификатам для разработки.

После выполнения команды вы увидите примерно такой результат:

Created a new local CA at "/home/you/.local/share/mkcert"
The local CA is now installed in the system trust store!

Теперь ваша система настроена на доверие к любым TLS/SSL сертификатам, созданным с помощью mkcert, что устраняет обычные предупреждения браузера, которые появляются при использовании самоподписанных сертификатов, и закладывает основу для безопасного и надёжного HTTPS во время локальной разработки.

Создание локальных сертификатов с помощью mkcert

А теперь самое интересное: создание локального SSL-сертификата с помощью mkcert. Допустим, вы разрабатываете веб-приложение и хотите, чтобы оно работало по протоколу HTTPS на myapp.local.

Вы можете сгенерировать сертификат для этого домена, просто выполнив следующую команду:

mkcert myapp.local

После выполнения mkcert в вашем текущем каталоге будут созданы два файла: myapp.local.pem — сертификат, и myapp.local-key.pem — закрытый ключ.

Эти файлы можно использовать напрямую с локальными веб-серверами, такими как Nginx, Apache, или даже с облегчёнными серверами для разработки, такими как http.server на Python, если они настроены на поддержку SSL.

Если вы работаете с более сложными средами разработки, которые включают в себя несколько доменов, поддоменов или даже доступ к локальному хосту, mkcert позволяет создать сертификат, охватывающий их все, с помощью одной команды.

Например:

mkcert myapp.local "*.myapp.local" localhost 127.0.0.1 ::1

Приведенная выше команда генерирует сертификат, действительный для myapp.local, любого поддомена, например api.myapp.local, а также для localhost и его IP-эквивалентов 127.0.0.1 для IPv4 и ::1 для IPv6.

Использование mkcert с локальным сервером Nginx

Давайте рассмотрим практический пример использования mkcert для обслуживания локального веб-приложения по протоколу HTTPS с помощью Nginx. Представьте, что у вас есть локальный сервер разработки, работающий по адресу http://localhost:3000, и вы хотите получить к нему безопасный доступ по адресу https://myapp.local.

Сначала вам нужно привязать домен myapp.local к вашему локальному компьютеру. Откройте файл /etc/hosts в любимом текстовом редакторе.

sudo nano /etc/hosts

и добавьте следующую строку, которая указывает вашей системе на необходимость преобразования myapp.local в локальный интерфейс обратной связи.

127.0.0.1 myapp.local

Затем сгенерируйте сертификат для разработки этого домена с помощью mkcert, в результате чего в вашем текущем каталоге будут созданы два файла: myapp.local.pem (сертификат) и myapp.local-key.pem (закрытый ключ).

mkcert myapp.local

Теперь настройте Nginx на использование этих сертификатов. Откройте конфигурацию Nginx (обычно она находится в /etc/nginx/sites-available/ или /etc/nginx/conf.d/) и создайте или обновите блок сервера следующим образом:

server {
 listen 443 ssl;
 server_name myapp.local;

 ssl_certificate /path/to/myapp.local.pem;
 ssl_certificate_key /path/to/myapp.local-key.pem;

 location / {
 proxy_pass http://localhost:3000;
 }
}

Обязательно замените /path/to/ на фактический путь к файлам сертификата и ключа, созданным с помощью mkcert.

После настройки конфигурации перезагрузите или перезапустите Nginx, чтобы изменения вступили в силу:

sudo systemctl restart nginx

Теперь откройте браузер и перейдите по адресу https://myapp.local. Вы увидите, что ваше приложение работает в безопасном режиме по протоколу HTTPS без предупреждений о сертификате, как в реальной рабочей среде.

Примечание по безопасности

Примечание по безопасности: mkcert предназначен исключительно для разработки и тестирования. Сертификаты, созданные с помощью mkcert, ни в коем случае нельзя использовать в производственных средах, так как этот инструмент создаёт локальный центр сертификации (ЦС), который не распознаётся глобальными системами или браузерами.

Кроме того, закрытый ключ этого центра сертификации хранится в виде обычного текста на вашем локальном компьютере, что представляет угрозу безопасности в случае его неправомерного использования. Для любого производственного развертывания всегда используйте надежный центр сертификации, например Let’s Encrypt, чтобы обеспечить надлежащую проверку и соответствие требованиям безопасности.

Как удалить mkcert и локальный центр сертификации

Если вам когда-нибудь понадобится очистить систему или полностью удалить mkcert, это несложно. Сначала вы можете удалить локально установленный центр сертификации (ЦС), выполнив команду:

mkcert -удалить

Эта команда удаляет корневой центр сертификации, созданный с помощью mkcert, из хранилища доверенных сертификатов вашей системы, а также из базы данных NSS Firefox (если применимо). Это гарантирует, что любые сертификаты, подписанные mkcert, больше не будут считаться доверенными в ваших браузерах или локальных инструментах.

Если вы установили mkcert вручную (например, загрузив бинарный файл напрямую), вам также следует удалить исполняемый файл из вашей системы.

sudo rm /usr/local/bin/mkcert

Это приведёт к удалению двоичного файла mkcert с вашего локального компьютера. После выполнения обеих команд mkcert и его CA будут полностью удалены из вашей системы, не оставив после себя никаких конфигураций доверия.

Заключение

Настройка HTTPS для локальной разработки не должна быть сложной. С помощью mkcert разработчики и системные администраторы получают быстрый и надежный способ создания сертификатов, которым можно доверять локально, без предупреждений браузера и без необходимости возиться с OpenSSL или сложными цепочками сертификатов.

Редактор: AndreyEx