本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

自定义 CA 根证书

如果你在内部生产环境使用 Rancher，且不打算公开暴露应用，你可以使用使用私有 CA 颁发的证书。

Rancher 可能会访问配置了自定义/内部 CA 根证书（也称为自签名证书）的服务。如果 Rancher 无法验证服务的证书，则会显示错误信息 x509: certificate signed by unknown authority。

如需验证证书，你需要把 CA 根证书添加到 Rancher。由于 Rancher 是用 Go 编写的，我们可以使用环境变量 SSL_CERT_DIR 指向容器中 CA 根证书所在的目录。启动 Rancher 容器时，可以使用 Docker 卷选项（-v host-source-directory:container-destination-directory）来挂载 CA 根证书目录。

Rancher 可以访问的服务示例：

应用商店
验证提供程序
使用 Node Driver 访问托管/云 API

使用自定义 CA 证书安装

有关启动挂载了私有 CA 证书的 Rancher 容器的详情，请参见安装文档：

Kubernetes 安装的其他受信 CA 选项