1. 为什么Chrome不信任你的自签名证书最近在本地开发一个Web应用时遇到了一个让人头疼的问题明明已经用mkcert生成了自签名证书Chrome却死活不认每次访问都显示连接不安全。如果你也遇到过类似情况别着急这很可能是因为你的证书缺少了对IPv6地址的支持。现代浏览器在处理localhost时有个小秘密它们会优先尝试使用IPv6地址::1进行连接。我刚开始也没意识到这点直到打开Chrome开发者工具在网络标签下查看请求的远程地址时才发现浏览器把localhost解析成了::1。而我的证书只包含了localhost和127.0.0.1自然就出现了信任问题。2. 使用mkcert生成完整SAN证书2.1 安装mkcert工具mkcert是目前最方便的本地开发证书生成工具它能自动创建受系统信任的本地CA。安装方法很简单macOS用户brew install mkcertLinux用户sudo apt install mkcert基于Debian的系统Windows用户可以用Chocolatey安装choco install mkcert安装完成后先执行mkcert -install将本地CA添加到系统信任链。这一步需要管理员权限因为它会在系统钥匙串中添加一个新的根证书。2.2 生成包含IPv6地址的证书关键来了要生成一个被Chrome完全信任的证书必须包含所有可能的解析地址mkcert localhost 127.0.0.1 ::1这个命令会生成两个文件localhost2.pem证书文件localhost2-key.pem私钥文件文件名中的2表示包含了2个额外的SANSubject Alternative Name条目。相比只包含localhost的证书这个证书能覆盖IPv4和IPv6两种情况。3. 配置Web服务器使用新证书3.1 Node.js示例如果你用Node.js开发可以这样配置HTTPS服务器const https require(https); const fs require(fs); const options { key: fs.readFileSync(localhost2-key.pem), cert: fs.readFileSync(localhost2.pem) }; https.createServer(options, (req, res) { res.end(Hello Secure World!); }).listen(3001);3.2 Nginx配置对于Nginx用户修改配置文件如下server { listen 443 ssl; server_name localhost; ssl_certificate /path/to/localhost2.pem; ssl_certificate_key /path/to/localhost2-key.pem; location / { root /var/www/html; index index.html; } }配置完成后记得重启Nginx服务。4. 常见问题排查4.1 证书仍然不被信任如果按照上述步骤操作后Chrome还是不信任证书试试这些排查步骤清除浏览器缓存Chrome有时会顽固地缓存安全警告检查证书链在Chrome中点击锁图标→证书确保证书路径显示该证书有效验证SAN条目确保证书中包含::1地址4.2 多平台差异处理不同操作系统处理证书的方式略有不同macOS证书安装在钥匙串访问的系统钥匙串中需要手动设置为始终信任Windows通过证书管理器certmgr.msc将CA证书导入受信任的根证书颁发机构Linux依赖系统的证书存储位置通常需要将CA证书复制到/usr/local/share/ca-certificates/后运行update-ca-certificates5. 深入理解SAN扩展Subject Alternative NameSAN扩展是现代证书中至关重要的部分。它允许一个证书保护多个域名和IP地址。对于本地开发环境完整的SAN应该包含域名localhostIPv4回环地址127.0.0.1IPv6回环地址::1其他可能使用的自定义域名如myapp.test使用OpenSSL查看证书详情的方法openssl x509 -in localhost2.pem -text -noout在输出中你会看到类似这样的SAN条目X509v3 Subject Alternative Name: DNS:localhost, IP Address:127.0.0.1, IP Address:0:0:0:0:0:0:0:16. 浏览器安全策略解析现代浏览器对本地主机的证书检查越来越严格。Chrome从58版本开始就要求本地证书必须包含SAN扩展不再识别Common Name字段。此外证书有效期不能超过398天必须使用足够强度的加密算法如SHA-256密钥长度至少2048位这些限制是为了防止开发者使用过于宽松的证书标准确保开发环境和生产环境的安全性尽可能接近。7. 高级应用场景7.1 多项目开发配置当同时开发多个项目时可以为每个项目生成独立证书mkcert myproject1.local 127.0.0.1 ::1 mkcert myproject2.local 127.0.0.1 ::1然后在系统的hosts文件中添加127.0.0.1 myproject1.local 127.0.0.1 myproject2.local ::1 myproject1.local ::1 myproject2.local这样每个项目都有专属的域名和证书更接近真实部署环境。7.2 局域网测试有时需要在局域网其他设备上测试可以这样生成证书mkcert mylocal.dev 192.168.1.100 ::1然后在测试设备上安装mkcert的CA证书位于mkcert -CAROOT显示的路径中这样其他设备也能信任这个证书。8. 替代方案比较虽然mkcert是最方便的解决方案但了解其他方法也有帮助OpenSSL手动生成更灵活但复杂需要自己管理CA本地反向代理使用Caddy或Traefik自动管理证书云服务商免费证书如Lets Encrypt但不适合频繁变化的本地开发mkcert的优势在于它隐藏了加密学细节提供了开箱即用的解决方案特别适合快速迭代的开发环境。