Rancher 2.10.3 问题

dd · 2025 年4 月 29 日 08:49

Rancher Server 设置

Rancher 版本： 2.10.3
安装选项 (Docker install/Helm Chart): 单节点 Docker
- 如果是 Helm Chart 安装，需要提供 Local 集群的类型（RKE1, RKE2, k3s, EKS, 等）和版本：
在线或离线部署：在线部署

下游集群信息

Kubernetes 版本: v1.31.7
Cluster Type (Local/Downstream): custom
- 如果 Downstream，是什么类型的集群?(自定义/导入或为托管等):

用户信息

登录用户的角色是什么？（管理员/集群所有者/集群成员/项目所有者/项目成员/自定义）：
- 如果自定义，自定义权限集： admin

主机操作系统：
RHEL8

问题描述：
Docker 2.10.3 单节点Docker ， 50年自定义证书， 10年后，自带的k3s证书过期， Rancher无法启动，如何解决？

重现步骤：

结果：

预期结果：

截图：

其他上下文信息：

日志

ksd · 2025 年4 月 30 日 01:59

我没试过，但理论上，删除 CA 证书，然后重启 K3S，K3S 会根据新的 CA 证书来生成其他证书，你可以测试下：

rm /var/lib/rancher/k3s/server/tls/server-ca.*
rm /var/lib/rancher/k3s/server/tls/client-ca.*

restart k3s

或者你用自定义证书来替换掉 K3S 的证书，参考：certificate | K3s

dd · 2025 年9 月 10 日 09:48

大师，
我测试了很久一直没有解决这个问题。单节点Docker ，安装的时候使用你们提供的脚本create_self-signed-cert.sh 生成的的自签名 50年证书， 10年后，自带的k3s证书过期， Rancher无法启动。
用你的方法：
rm /var/lib/rancher/k3s/server/tls/server-ca.*
rm /var/lib/rancher/k3s/server/tls/client-ca.*

restart k3s
不行，进入容器后查看 k3s log ,应该是 ETCD的证书过期，无法启动ETCD。
报错信息如下： “Bootstrap key already exists”
time=“20xx” level=error msg=“CA cert validation failed: Get "https://127.0.0.1:6444/cacerts\”: tls: failed to verify certificate: x509: certificate has expired or is not yet valid: current time 20xx is after 20xx"。。

我也试过 k3s certificate rotate-ca --path=/opt/k3s/server，但是不加 --force ，执行会报错，加了Force 后，Token变了，还是无法启动，能否指导一下如何操作。感谢

还希望帮助解决，这个问题困了我很久很久。因为有些rancher 快运行10年了