Довольно долго провозился с этой темой.
Как оказалось проблема не в сертификате (его содержимом).
Основная история вот в чём:
1. сертификат долженг иметь такое же имя, как вы указали в параметре tls-ca-file файла /etc/gilab-runner/config.toml
2. после создания секрета в k8s, в values.yaml создайте две переменные окружения
envVars:
- name: <secret_name> value: /home/gitlab-runner/.gitlab-runner/certs/<certificate_name>
P.S. после этого, если на runner выскакивает ошибка kubectl с аналогичным кодом - просто добавьте "--insecure-skip-tls-verify."
