## 不能检查外部的ca签名的证书
```
kubeadm certs check-expiration
```

## 自动更新证书
kubeadm会在控制面板升级时，自动更新所有证书

## 手动更新你的证书
```
kubeadm certs renew
```
此命令用 CA （或者 front-proxy-CA ）证书和存储在 /etc/kubernetes/pki 中的密钥执行更新。

kubeadm certs renew 提供下列选项

    --csr-only 可用于经过一个外部 CA 生成的证书签名请求来更新证书（无需实际替换更新证书）
    可以更新单个证书而不是全部证书