CA证书过期-续签

背景：

有颁发证书有效期为50年+，但ca机构证书有效期较短的情况，解决方式是，重新根据ca-key.pem生成ca.pem，只需替换ca.pem即可，已经颁发的证书仍正常使用。

#生成证书请求文件csr，需要使用原ca.pem 证书和ca-key.pem 公钥
openssl x509 -x509toreq -in ca.pem -signkey ca-key.pem -out new-server.csr 
 
#根据csr证书请求文件重新生成ca证书
openssl x509 -req -days 3650 -in new-server.csr -signkey ca-key.pem -out new-ca.pem 
 
#进行测试验证,返回OK则代表正常
openssl verify -CAfile new-ca.pem -verbose /etc/etcd/ssl/etcd.pem 
/etc/etcd/ssl/etcd.pem: OK
 
#替换证书
mv new-ca.pem /etc/kubernetes/ssl/ca.pem

注意：k8s环境复杂，保证所有的ca.pem都替换完成