✅ RKE2 自定义证书有效期的编译与部署流程 🧠 背景说明 RKE2 的证书生成逻辑继承自 K3s,而 K3s 又依赖于 github.com/rancher/dynamiclistener 库来生成 TLS 证书。因此,我们可以通过修改该库来自定义 CA 或客户端证书的有效期。
通过查阅 https://github.com/rancher/rke2/pull/4324 可知,RKE2 官方已支持通过配置服务器端环境变量来自定义客户端证书的有效期。具体方法如下: 在 /etc/default/rke2-server 文件中添加以下参数: CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=36500 该参数设置客户端证书的有效期为 36500 天(约 100 年)。
