在 AKS 上进行操作时，需要定期轮换证书以确保安全性。当证书到期或者过期时间默认为 1 年时，AKS 将发出警报并且将不再接受证书。

如果遇到证书轮换错误，可以按照以下步骤进行解决：

1. 查看证书与密钥的详细信息。

kubectl get secrets

2. 获取要轮换的 Secret 名称。

kubectl get secret  -o yaml > cert.yaml

3. 创建新的密钥/证书对。

openssl req -newkey rsa:4096 -nodes -keyout newkey.pem -out newcert.csr -subj "/CN="

4. 使用新密钥和证书签署 CSR。

openssl x509 -req -in newcert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out newcert.pem -days 365

5. 将新证书和旧证书合并。

cat newcert.pem > cert.pem
cat newkey.pem > key.pem

6. 更新 Kubernetes Secret。

kubectl create secret tls  --key key.pem --cert cert.pem -o yaml --dry-run | kubectl replace -f -

7. 验证是否成功轮换证书。

kubectl get secrets

此时，AKS 上的证书轮换问题应该已经解决。