本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

关于自定义 CA 根证书

如果您在内部生产环境中使用 Rancher，并且不公开应用，请使用来自私有证书颁发机构 (CA) 的证书。

Rancher 需要访问的服务有时配置了来自自定义/内部 CA 根的证书，也称为自签名证书。如果服务提供的证书无法通过 Rancher 验证，则会显示以下错误：x509: certificate signed by unknown authority。

要验证证书，需要将 CA 根证书添加到 Rancher。由于 Rancher 是用 Go 编写的，我们可以使用环境变量 SSL_CERT_DIR 指向容器中 CA 根证书所在的目录。可以在启动 Rancher 容器时，使用 Docker 卷选项 (-v host-source-directory:container-destination-directory) 挂载 CA 根证书目录。

Rancher 可以访问的服务示例：

编目
身份验证提供程序
使用 Node 驱动访问托管/云 API

使用自定义 CA 证书进行安装

有关使用挂载的私有 CA 证书启动 Rancher 容器的详细信息，请参阅安装文档：

附加受信任 CA 的 Kubernetes 安装选项