Mkcert

Mkcert permite generar certificados SSL/TLS válidos para entornos de desarrollo local. La herramienta crea una Autoridad de Certificación (CA) propia, la registra en los almacenes de confianza del sistema y del navegador, y emite certificados firmados por esa CA para los nombres o direcciones IP que necesites (como localhost, 127.0.0.1, 192.168.x.x o dominios personalizados como dev.local).

Tip

A diferencia de un certificado autofirmado convencional, los certificados generados por mkcert son reconocidos como válidos por navegadores y herramientas del sistema, ya que la CA local queda instalada como entidad de confianza. Esto elimina los avisos de “no seguro” durante el desarrollo.

Repositorio oficial de mkcert Código fuente, documentación e instrucciones de instalación.

Instalación

1. Instalar mkcert:

   Dependiendo de tu sistema operativo, ejecuta el comando correspondiente:

   En macOS con Homebrew:

   brew install mkcert

   En Linux con Homebrew:

   brew install mkcert

   En Windows con Scoop:

   scoop bucket add extras
   scoop install mkcert

   En Windows con Chocolatey:

   choco install mkcert

   Note

   Si no tienes un gestor de paquetes, puedes descargar los binarios precompilados directamente desde la página de releases del repositorio oficial.

2. Instalar la CA local en el sistema:

   Ejecuta el siguiente comando para crear e instalar la Autoridad de Certificación local en los almacenes de confianza del sistema y del navegador:

   mkcert -install

   Este paso solo es necesario realizarlo una vez. Mkcert registrará la CA raíz en el almacén del sistema, Firefox (si está disponible) y Java (si se detecta JAVA_HOME).

   Caution

   La clave privada de la CA se almacena en tu equipo. No la compartas ni la expongas fuera de tu entorno de desarrollo, ya que cualquier persona con acceso a ella podría generar certificados válidos para tu sistema.

Generar certificados

1. Crear un certificado para los dominios necesarios:

   Especifica los nombres de host o direcciones IP para los que necesitas el certificado:

   mkcert localhost 127.0.0.1 ::1

   Esto generará dos archivos en el directorio actual: localhost+2.pem (certificado) y localhost+2-key.pem (clave privada).

2. Usar dominios personalizados:

   También puedes generar certificados para dominios personalizados o IPs de red local:

   mkcert miapp.local 192.168.1.50

   Tip

   Si utilizas un dominio personalizado como miapp.local, recuerda añadirlo al archivo hosts de tu sistema apuntando a 127.0.0.1 o a la IP correspondiente.

3. Usar los certificados en un contenedor Docker:

   Copia los archivos generados al contenedor y configura el servidor para utilizarlos. Por ejemplo, con Nginx:

   FROM nginx:alpine
   COPY localhost+2.pem /etc/nginx/ssl/cert.pem
   COPY localhost+2-key.pem /etc/nginx/ssl/key.pem
   COPY nginx.conf /etc/nginx/conf.d/default.conf
   EXPOSE 443

   Configuración de Nginx correspondiente (nginx.conf):

   server {
       listen 443 ssl;
       server_name localhost;
   
       ssl_certificate /etc/nginx/ssl/cert.pem;
       ssl_certificate_key /etc/nginx/ssl/key.pem;
   
       location / {
           root /usr/share/nginx/html;
       }
   }

   Construye y ejecuta el contenedor:

   docker build -t mi-app-ssl .
   docker run -p 443:443 mi-app-ssl

   Note

   Los certificados generados por mkcert solo son válidos en la máquina donde se instaló la CA local. Si otro equipo accede al contenedor, verá el aviso de certificado no confiable a menos que también tenga instalada la misma CA.

Comandos útiles

Consultar dónde se almacena la CA local:

mkcert -CAROOT

Desinstalar la CA local del sistema:

mkcert -uninstall

Repositorio mkcert Código fuente y documentación oficial de mkcert.

HTTPS en desarrollo local Guía de web.dev sobre HTTPS en entornos locales.