如果集群CA密钥或管理器节点泄露，可以轮换群根CA，这样所有节点就不再信任旧根CA签署的证书。

运行docker swarm CA — rotate生成新的CA证书和密钥如果您愿意，您可以传递— ca—cert和— external—ca标志来指定根证书，并在群集外使用根ca或者，您可以传递— ca—cert和—ca—key标志来指定您希望swarm使用的确切证书和密钥

当您发出docker swarm ca — rotate命令时，以下事情将依次发生:

1.Docker生成交叉签名证书这意味着新根证书的一个版本是用旧根证书签名的该交叉签名证书用作所有新节点证书的中间证书这确保了仍然信任旧根证书颁发机构的节点仍然可以验证由新证书颁发机构签名的证书

2.Docker还告诉所有节点立即更新其TLS证书这个过程可能需要几分钟，这取决于群中的节点数量

3.在swarm中的每个节点都有一个由新的CA签署的新的TLS证书后，Docker会忘记旧的CA证书和密钥材料，并告诉所有节点只信任新的CA证书。

这也将导致组的加入令牌发生变化的前一个加入令牌不再有效

从现在开始，所有新颁发的节点证书都由新的根CA签名，并且不包含任何中间证书。