Rke2创建的集群，证书一年到期，是需要手动轮换证书，还是会自动替换证书

chqj · 2023 年6 月 27 日 03:15

环境信息:
RKE2 版本:
~# rke2 -v
rke2 version v1.24.11+rke2r1 (23bdc987de9658eb80a5e03862ab34efdecf6d4e)
go version go1.19.6 X:boringcrypt

节点 CPU 架构，操作系统和版本：
~# uname -a
Linux iZwz9hifjgcz508mj7fsqcZ 5.4.0-125-generic #141-Ubuntu SMP Wed Aug 10 13:42:03 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

集群配置:
3 servers, 2 agents

问题描述:
使用rke2创建的集群，证书一年到期，是需要手动轮换证书，还是会自动替换证书

重现步骤:

安装 RKE2 的命令:
curl -sfL https://rancher-mirror.oss-cn-beijing.aliyuncs.com/rke2/install.sh | INSTALL_RKE2_MIRROR=cn INSTALL_RKE2_VERSION=v1.24.11+rke2r1 sh -
systemctl enable rke2-server && systemctl start rke2-server

预期结果:

实际结果:

日志

chqj · 2023 年6 月 27 日 03:16

这里显示要手动轮换

这里又说会自动替换

chqj · 2023 年6 月 27 日 03:18

ksd · 2023 年6 月 27 日 06:02

手动轮换

chqj · 2023 年6 月 28 日 08:30

是需要在每个控制节点上执行“rke2 certificate rotate上”乱换证书？工作节点上也需要吗？

ksd · 2023 年6 月 28 日 08:39

我还是建议你实际操作测试一遍，搭建一个 rke2 集群，然后将系统时间修改为一年后。

chqj · 2023 年6 月 28 日 08:42

好的谢谢大佬

chqj · 2023 年7 月 19 日 05:58

大佬，修改时间后，使用什么命令可以查看证书剩余时间呢？

ksd · 2023 年7 月 19 日 07:24

下面是 K3s 查看证书有效期的方法，你可以做个参考，应该只是将 k3s 替换为 rke2 就可以了

for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

chqj · 2023 年7 月 19 日 07:29

看到了