Rancher 2.7.10 单节点集群，建立下游 Custom 集群，这个集群 kube-ca.pem 等10年证书过期如何处理？

dd · 2025 年9 月 19 日 06:45

Rancher Server 设置

Rancher 版本： 2.7.10
安装选项 (Docker install/Helm Chart): Docker Install
- 如果是 Helm Chart 安装，需要提供 Local 集群的类型（RKE1, RKE2, k3s, EKS, 等）和版本：
在线或离线部署：离线部署

下游集群信息

Kubernetes 版本: v1.18.20
Cluster Type (Local/Downstream): Downstream
- 如果 Downstream，是什么类型的集群?(自定义/导入或为托管等): 自定义

用户信息

登录用户的角色是什么？（管理员/集群所有者/集群成员/项目所有者/项目成员/自定义）：
- 如果自定义，自定义权限集：

主机操作系统： CentOS 8.8

问题描述：
Rancher 2.7.10 单节点集群，local k3s 10 年CA 证书，Rote 已经解决，现在下游 Custom 集群，这个集群 kube-ca.pem 等10年证书过期如何处理？

重现步骤：

结果：

预期结果：

截图：

其他上下文信息：

日志

Alan · 2025 年9 月 22 日 01:40

只需要在rancher的证书到期之前，更换rancher的新证书就行，下游K8S集群的证书会在你更新好rancher的证书后自动轮换

dd · 2025 年9 月 22 日 03:10

感谢回复，我 docker 安装Rancher 的时候，使用的 create_self-signed-cert.sh脚本生成的50年的证书，现在是下游 Custom 集群，这个集群 kube-ca.pem 等10年证书过期如何处理？是用create_self-signed-cert.sh 重新生成一份50年证书，现用Docker 跑一下Rancher ？

Alan · 2025 年9 月 22 日 03:24

下游集群使用rancher的证书生成K8S集群使用的证书，rancher证书只要不过期，下游集群证书到期后会自动轮换，你只需要关注rancher的证书到期时间就行