boolean renewed = wrapper.renewCredentials("locationHint", null);

        // Verify that renew() was called and credentials were updated
        assertTrue(renewed, "renewCredentials should return true when renewable credentials are renewed");
        assertEquals(mockRenewedCredentialsInternal, wrapper.getCredentials(), "Credentials should be updated to renewed credentials");
        verify(mockRenewableCredentials).renew();
    }

    * Otherwise, you might have to stop the TLS Termination Proxy momentarily, start the renewal program to acquire the certificates, then configure them with the TLS Termination Proxy, and then restart the TLS Termination Proxy. This is not ideal, as your app(s) will not be available during the time that the TLS Termination Proxy is off.

     */
    CIFSContext withCredentials(Credentials creds);

    /**
     * Attempt to renew credentials after authentication failure
     *
     * @param locationHint URL or location hint for credential renewal
     * @param error the error that triggered renewal
     * @return whether new credentials are obtained
     */
    boolean renewCredentials(String locationHint, Throwable error);

        // Arrange: stub renew() to return a mocked CredentialsInternal
        when(renewable.renew()).thenReturn(returned);

        // Act: invoke renew()
        CredentialsInternal result = renewable.renew();

        // Assert: verify interaction and returned value
        verify(renewable, times(1)).renew();
        assertSame(returned, result, "renew() should return the stubbed value");

雖然只有一個行程可以處理特定 IP 與埠的組合（本例中的 TLS 終止代理），但其他應用／行程也都能在伺服器上運行，只要它們不使用相同的**公用 IP 與埠**組合即可。

<img src="/img/deployment/https/https08.drawio.svg">

如此一來，TLS 終止代理就能為**多個網域**、多個應用處理 HTTPS 與憑證，並把請求轉發到對應的應用。

### 憑證續期 { #certificate-renewal }

在未來某個時間點，每張憑證都會**過期**（自取得起約 3 個月）。

之後，會有另一個程式（有時是另一個程式，有時也可能就是同一個 TLS 終止代理）與 Let's Encrypt 溝通並續期憑證。

<img src="/img/deployment/https/https.drawio.svg">

**TLS 憑證**是**綁定網域名稱**，不是綁定 IP 位址。

<img src="/img/deployment/https/https08.drawio.svg">

そうすれば、TLS Termination Proxy は、**複数のドメイン**や複数のアプリケーションのHTTPSと証明書を処理し、それぞれのケースで適切なアプリケーションにリクエストを送信することができます。

### 証明書の更新 { #certificate-renewal }

将来のある時点で、各証明書は（取得後約3ヶ月で）**失効**します。

その後、Let's Encryptと通信する別のプログラム（別のプログラムである場合もあれば、同じTLS Termination Proxyである場合もある）によって、証明書を更新します。

<img src="/img/deployment/https/https.drawio.svg">

### Cluster Lifecycle

  also supported using "kubeadm alpha certs renew", but not switching between the RSA and
  ECDSA algorithms on the fly or during upgrades. ([#86953](https://github.com/kubernetes/kubernetes/pull/86953), [@rojkov](https://github.com/rojkov)) [SIG API Machinery, Auth and Cluster Lifecycle]

### Продление сертификата { #certificate-renewal }

Со временем каждый сертификат **истечёт** (примерно через 3 месяца после получения).

Таким чином, TLS Termination Proxy може обробляти HTTPS і сертифікати для **кількох доменів**, для кількох застосунків, а потім передавати запити до відповідного застосунку в кожному випадку.

### Поновлення сертифіката { #certificate-renewal }

У певний момент у майбутньому строк дії кожного сертифіката **спливе** (приблизно через 3 місяці після його отримання).