我正在尝试按照此文档（使用Kubernetes CSR的Istio /自定义CA集成）在Istio中使用Kubernetes CSR设置自定义CA（AWS PCA）集成。
i）在证书管理器控制器上启用功能门：--功能门=实验证书签名请求控制器=真
ii）AWS PCA和aws-privateca-issuer插件已经就位。
iii）awspcclusterissuers对象已与AWS PCA arn（arn：aws：acm-pca：us-west-2：<account_id>：证书颁发机构/）在适当位置
iv）使用默认配置和AWS PCA颁发者的ca证书修改Istio运算符（awspcaclusterissuers.awspca.cert-manager.io/）
v）修改了istiod部署并添加了env变量（如文档中与群集角色沿着提到的）。

istiod pod出现故障，错误如下：

Generating K8S-signed cert for [istiod.istio-system.svc istiod-remote.istio-system.svc istio-pilot.istio-system.svc] using signer awspcaclusterissuers.awspca.cert-manager.io/cert-manager-aws-root-ca
2023-01-04T07:25:26.942944Z error   failed to create discovery service: failed generating key and cert by kubernetes: no certificate returned for the CSR: "csr-workload-lg6kct8nh6r9vx4ld4"
Error: failed to create discovery service: failed generating key and cert by kubernetes: no certificate returned for the CSR: "csr-workload-lg6kct8nh6r9vx4ld4"

K8s版本：1.22 Istio版本：1.13.5注：我们的cert manager和AWS PCA的集成运行良好，因为我们使用cert-manager和PCA与“Certificates”对象生成私有证书。但kubernetes csr方法与istio的集成失败了！
如果有任何人与这方面的知识可以帮助我在这里，因为有几乎零文档对此集成，我将非常感激。