使用mkcert签发自定义有效期的证书

January 17, 2026

9 views

760 words

原版mkcert签发的证书有效期是825天，也就是2年多。我都自行签发证书了，肯定还是希望签发的证书有效期能够自定义。不过原本的mkcert并不提供自定义有效期的功能。

mkcert -install -ca-org="myssl" -ca-orgUnit="myssl" -ca-commonName="myssl" -ca-years="15"

如果你没有自定义CA名称的需求，可以不带后面的参数，直接mkcert -install即可。默认的CA有效期为10年。

需要注意的是：在Windows下使用mkcert -install安装的CA是为当前用户安装的CA，而不是当前计算机。有需要为当前计算机安装的话，则需要自行使用certlm.msc导入到受信任的根证书颁发机构中去。

如果你以前使用mkcert生成过CA文件，本次希望重新生成。那么你需要先使用

mkcert -CAROOT

查看原来的CA文件位置（默认是在%LOCALAPPDATA%\mkcert路径下）。将原来的CA文件删除后再重新生成。

mkcert -cert-org="myssl" -cert-orgUnit="myssl" -cert-commonName="myssl" -cert-days="3650" X.X.X.X

如果你没有自定义证书名称及有效期的需求，可以不带后面的参数，默认的证书有效期是825天。