在本地开发环境中安全地使用 HTTPS

2023-11-25 22:26:43

引子

在本地开发网站时，使用 HTTPS 协议至关重要，以确保数据安全并获得与生产环境相似的体验。本文将深入探讨在本地环境中实现 HTTPS 的方法，从工具的介绍到实用技巧，助您构建一个安全可靠的开发环境。

HTTPS 简介

HTTPS（超文本传输协议安全）是用于在客户端和服务器之间建立安全连接的协议。它使用安全套接字层 (SSL) 或传输层安全 (TLS) 协议对通信进行加密。这样可以保护数据免遭窃听和篡改。

自签名证书是一种由您自己颁发的证书，允许您在本地环境中创建 HTTPS 连接。虽然它不提供与 CA 颁发的证书相同的安全级别，但它对于本地开发来说足够了。

如果您希望使用更高级别的安全保护，可以使用诸如 OpenSSL 或 Mbed TLS 等 SSL 库。这些库允许您创建和管理自定义证书，并提供其他安全功能。

某些开发服务器，如 Apache 和 Nginx，内置了 SSL 支持。这可以使在本地启用 HTTPS 变得更加容易。

Apache：

创建自签名证书：openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -out localhost.crt
将证书和密钥添加到 Apache 配置：

SSLCertificateFile /path/to/localhost.crt
SSLCertificateKeyFile /path/to/localhost.key

Nginx：

创建自签名证书：openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -out localhost.crt
将证书和密钥添加到 Nginx 配置：

server {
    listen 443 ssl;
    ssl_certificate /path/to/localhost.crt;
    ssl_certificate_key /path/to/localhost.key;
}

OpenSSL：

创建根证书颁发机构 (CA)：openssl req -new -x509 -keyout ca.key -out ca.crt -days 365 -subj "/C=US/ST=California/L=San Francisco/O=My Company/OU=IT Department/CN=www.example.com"
创建服务器证书：openssl req -new -keyout server.key -out server.csr -subj "/C=US/ST=California/L=San Francisco/O=My Company/OU=IT Department/CN=www.example.com"
签署服务器证书：openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt
使用 OpenSSL 启动 HTTPS 服务器：openssl s_server -cert server.crt -key server.key -accept 443

Mbed TLS：

创建根 CA 证书：mbedtls_x509write_crt(stdout, &cert, MBEDTLS_X509_FORMAT_DER)
创建服务器证书：mbedtls_x509write_crt(stdout, &cert, MBEDTLS_X509_FORMAT_DER)
签署服务器证书：mbedtls_x509_crt_sign(&root_ca, &cert, MBEDTLS_MD_SHA256, ca_privkey, NULL)
使用 Mbed TLS 启动 HTTPS 服务器：mbedtls_net_listen(&server_fd, MBEDTLS_NET_PROTO_TCP, NULL, 443, MBEDTLS_NET_LISTEN_BACKLOG)