怎样在局域网中给网站作ssl认证，使其能以https协议访问(转)

如果要在局域网达到效果需要满足以下几点要求：

1.	证书由可信任的CA机构颁发
2.	证书在有效期
3.	访问地址和证书的认证地址一致

说明：

1. 需要在局域网内构建CA机构
2. 证书的有效期建议设置长一点，毕竟在内网使用，升级比较麻烦
3. 生成的自签证书其中包含的域名或ip要和浏览器中访问的域名或ip保持一致

mkcert是一个使用go语言编写的生成本地自签证书的小程序，具有跨平台，使用简单，支持多域名，自动信任CA等一系列方便的特性可供本地开发时快速创建https环境使用。

mkcert的浏览器根据操作系统的不同生效也不同：

mkcert supports the following root stores:

我这里用windows演示，google浏览器可以支持，firefox不支持

由于go的跨平台的特性，所以直接安装即可

我这里已windows安装包为示例

其中明确了 -install -uninstall 的语义

将CA证书加入本地可信CA
在控制台 mkcert -install，就帮助我们将mkcert使用的根证书加入了本地可信CA中，以后由该CA签发的证书在本地都是可信的。
查看Windows的可信CA列表
IE浏览器中，选择设置==>Internet选项==>内容==>证书==>mkcert证书

至此标识当前CA已被信任

这里我的ip是177所以以此为例。如果有多个ip地址用空格隔开，表示该证书支持多个ip的认证，也就是浏览器访问地址的ip。
控制台中表明生成了192.168.99.177+1.pem证书文件和192.168.99.177+1-key.pem私钥文件

在nginx中配置ssl用于测试
server { listen 9888 ssl; ssl_certificate E:\Nginx1.15.11\conf\ssl\mkcert\192.168.99.177+1.pem; ssl_certificate_key E:\Nginx1.15.11\conf\ssl\mkcert\192.168.99.177+1-key.pem; location / { root E:/; } }
这里开启9888的ssl端口。映射E盘来做测试，E盘根目录下有一张名为hzw.PNG的图片。
现在访问 https://192.168.99.177/hzw.PNG会出现警告⚠页面

命令行查看mkcert的CA证书所在位置
mkcert -CAROOT
C:\Users\fanya\AppData\Local\mkcert
打开C:\Users\fanya\AppData\Local\mkcert其中包含rootCA.pem证书文件和rootCA-key.pem密钥文件。我们将rootCA.pem拷贝一个副本，并命名为rootCA.crt(因为windows并不识别pem扩展名）
2021/08/02 15:08 2,484 rootCA-key.pem
2021/08/02 15:08 1,797 rootCA.crt
2021/08/02 15:08 1,797 rootCA.pem