kubeadm certs 是 Kubernetes 中用于管理集群证书的核心命令，证书是保障集群安全通信的基石。通过该命令可以查看证书状态、更新即将过期的证书以及生成新的证书，确保集群始终处于安全可靠的状态。接下来，让我们一起学习如何使用它吧！

目录

1、使用场景

2、示例

3、常见参数

1、使用场景

• 查看证书信息：检查集群中证书的有效期和详细信息

• 更新证书：在证书即将过期或已过期时手动更新

• 生成新证书：重新生成集群证书（如配置文件丢失或损坏时）

• 检查证书状态：验证证书的健康状态

2、示例

• 检查证书有效期

kubeadm certs check-expiration

• 更新所有证书

# 更新所有证书，包括 apiserver、apiserver-kubelet-client 等
kubeadm certs renew all

• 更新指定证书

# 仅更新 apiserver 证书
kubeadm certs renew apiserver

• 注意事项

        1）证书有效期（K8s 证书默认有效期为 1 年，需定期检查并更新）

        2）备份（更新或生成证书前，备份 /etc/kubernetes/pki 目录）

        3）集群状态（更新证书后，可能需要重启相关组件，如 kube-apiserver）

        4）外部管理证书（若证书由外部工具管理，如 cert-manager，避免使用 kubeadm certs renew）

3、常见参数

• --config：指定配置文件路径

• --cert-dir：指定证书存储目录（默认 /etc/kubernetes/pki）

• --csr-only：仅生成证书签名请求（CSR），而不实际生成证书

• --csr-dir：指定 CSR 文件的输出目录