а что это вот
sa.pub

так, ну ок

# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout
Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number:
           64:9c:5d:f4:7f:ab:1b:b2:a6:cd:0a:27:76:e7:62:b5:67:ef:ef:2d
   Signature Algorithm: sha256WithRSAEncryption
       Issuer: CN = kubernetes
       Validity
           Not Before: Sep 30 14:17:00 2019 GMT
           Not After : Sep 29 14:17:00 2020 GMT
       Subject: C = RU, ST = Moscow, L = Moscow, O = Kubernetes, OU = Cluster, CN = kube-apiserver
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:c1:4c:a1:6d:2a:ed:cc:c7:9e:26:c1:a6:6e:f4:
                   8e:4f:de:2b:28:c3:00:ac:e5:73:44:df:46:6c:dc:
                   62:9e:ca:19:25:8f:fa:94:1c:6e:66:30:86:76:63:
                   ed:84:8b:e3:05:d8:10:10:46:89:b3:2c:e0:d0:75:
                   f2:1b:48:5c:34:4c:2d:7c:16:47:65:bd:7a:c3:1d:
                   52:7a:2e:cf:88:53:f5:9b:59:f7:4c:89:9b:13:95:
                   72:02:b4:61:84:38:66:c9:ea:3d:a2:33:7c:f5:02:
                   65:ca:d2:b9:8b:ac:05:84:a4:d7:cb:fe:cb:0e:e0:
                   5c:7d:76:d1:ad:96:a8:61:96:5e:53:64:5a:d2:99:
                   28:8d:34:32:c3:88:3a:df:42:ec:73:20:0d:e0:a4:
                   b7:91:49:53:3f:cc:81:8d:08:a6:eb:0d:07:3c:7c:
                   e4:27:4d:5c:08:d2:96:93:cc:52:41:5d:14:4c:79:
                   ad:f9:a4:62:19:e0:cd:0d:e2:6a:fb:37:c1:6e:10:
                   ea:f1:9d:d7:b8:96:7e:36:b0:60:13:41:08:1c:1e:
                   48:02:9f:8e:09:68:ba:93:50:7a:b8:0e:8c:b8:09:
                   2a:0d:1c:70:0b:ce:39:89:68:1f:80:18:71:85:03:
                   52:05:01:ef:de:6b:59:6a:1f:64:55:7c:b0:4f:38:
                   63:b5
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Key Usage: critical
               Digital Signature, Key Encipherment
           X509v3 Extended Key Usage:
               TLS Web Server Authentication, TLS Web Client Authentication
           X509v3 Basic Constraints: critical
               CA:FALSE
           X509v3 Subject Key Identifier:
               98:C5:D4:6E:F2:2C:A3:F0:A1:3B:04:69:D9:BB:79:DD:F4:EB:48:69
           X509v3 Subject Alternative Name:
               DNS:kub-01, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:masterkub.tran.lan, DNS:masterkub.tran.lan, IP Address:10.96.0.1, IP Address:192.168.12.34
   Signature Algorithm: sha256WithRSAEncryption
        31:df:4a:45:1c:67:d1:1a:e0:88:ab:2b:45:df:b1:39:c8:46:
        75:20:82:f4:e5:81:7c:da:2b:e0:6c:84:74:5b:20:10:5c:64:
        d3:a7:7c:fc:79:7e:d0:fa:36:54:ff:ee:b0:da:51:d4:e7:c4:
        c5:c7:ff:44:65:09:b3:1a:38:d4:8d:42:77:3b:82:28:50:7f:
        79:d2:6d:41:8d:fb:92:73:6f:d9:60:17:91:c0:63:68:a6:b1:
        39:13:33:d0:04:88:2c:39:96:ee:f7:43:a9:79:52:6b:ab:ce:
        63:1c:95:e5:e1:4e:a8:54:86:c2:a7:a3:95:e0:34:dd:c1:47:
        ca:b4:02:9f:86:41:54:45:97:d2:d0:d1:fb:93:5d:ff:23:34:
        17:3b:50:a6:25:aa:30:10:7e:c5:ab:91:af:19:11:d1:0e:54:
        76:86:cd:83:9a:25:43:b4:cb:04:a8:12:2c:49:8d:55:76:9e:
        1e:e3:ed:35:65:79:3c:9b:db:55:7e:e6:c8:65:bd:cb:27:41:
        fb:e7:da:2a:e2:f1:b8:23:07:39:37:cd:0e:ab:ad:65:52:9c:
        0f:c4:dd:6d:66:68:79:f2:e0:60:ca:af:07:00:ce:c4:cc:78:
        93:c2:1e:e5:0d:6c:80:51:dc:49:47:aa:0e:b1:e0:b3:85:45:
        9a:55:ef:93

то я не генерил, хз что это)

так, то есть вот эти два файла тебе надо было перегенерить: /etc/kubernetes/pki/apiserver.crt, /etc/kubernetes/pki/apiserver.key

ага

ты их сгенерил, положил в /etc/kubernetes/pki/ и рестартанул кубелет

Хмммм

да

так

кубелет после запуска запускает контейнеры?

docker ps чего-нить кажет?

нет

сен 30 18:04:29 kub-01 systemd[1]: Started kubelet: The Kubernetes Node Agent.
сен 30 18:04:29 kub-01 kubelet[20367]: Flag --cgroup-driver has been deprecated, This parameter should be set via the config file specified by the Kubelet's --config flag. See https://kubernetes.io/docs/tasks/administer-cluster/kubelet-c
сен 30 18:04:29 kub-01 kubelet[20367]: Flag --cgroup-driver has been deprecated, This parameter should be set via the config file specified by the Kubelet's --config flag. See https://kubernetes.io/docs/tasks/administer-cluster/kubelet-c
сен 30 18:04:29 kub-01 kubelet[20367]: I0930 18:04:29.662711   20367 server.go:408] Version: v1.12.2
сен 30 18:04:29 kub-01 kubelet[20367]: I0930 18:04:29.663362   20367 plugins.go:99] No cloud provider specified.
сен 30 18:04:29 kub-01 kubelet[20367]: E0930 18:04:29.667209   20367 bootstrap.go:205] Part of the existing bootstrap client certificate is expired: 2019-09-26 18:47:41 +0000 UTC
сен 30 18:04:29 kub-01 kubelet[20367]: F0930 18:04:29.667244   20367 server.go:262] failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory
сен 30 18:04:29 kub-01 systemd[1]: kubelet.service: Main process exited, code=exited, status=255/n/a
сен 30 18:04:29 kub-01 systemd[1]: kubelet.service: Unit entered failed state.
сен 30 18:04:29 kub-01 systemd[1]: kubelet.service: Failed with result 'exit-code'.

bootstrap.go:205] Part of the existing bootstrap client certificate is expired: 2019-09-26 18:47:41 +0000 UTC

> как узнать какой он серт смотрит
вот это вторая проблема - это он про ту кейпару, которую ему контроллер-манагер выписал

а где она лежит?

он бы путь хоть написал до протухшего серта)

там, куда --cert-dir= указывает