ghcr.io/pkimetal/pkimetal:v1.19.0

pkimetal/pkimetal 是托管在 GitHub Container Registry（ghcr.io）上的一款轻量级容器镜像，专注于公钥基础设施（PKI）相关的工具与服务。作为开源容器化解决方案，它整合了证书管理、密钥生成、CA（证书颁发机构）部署等核心功能，适合个人开发者和企业用户快速搭建安全的加密通信环境。

该镜像的核心功能围绕 PKI 全流程展开：支持生成符合 X.509 标准的 TLS/SSL 证书，兼容 RSA、ECC 等主流加密算法，可自定义密钥长度（如 2048/4096 位 RSA 密钥）和证书有效期；内置轻量级 CA 服务，能快速部署根 CA 与中间 CA，支持证书链构建、吊销列表（CRL）生成及 OCSP 响应配置；同时提供密钥对管理工具，支持密钥存储加密、格式转换（PEM/PKCS#12 等）和定期轮换提醒。

在适用场景上，它覆盖了多类需求：个人开发者可用于本地测试环境的 HTTPS 证书签发（如为 Nginx、Node.js 服务配置自签名证书）；企业 IT 团队可将其集成到内部服务架构，为微服务、数据库（如 MySQL、MongoDB）或消息队列（如 Kafka、RabbitMQ）提供加密通信支持；DevOps 流程中，通过 CI/CD 工具（如 GitHub Actions、Jenkins）调用镜像 API，可实现证书的自动化签发与更新，避免手动操作疏漏。

镜像设计上注重实用性与兼容性：基于 Alpine Linux 构建，体积控制在 100MB 以内，启动时间小于 5 秒；支持 Docker、Podman 等容器引擎，也可通过 Helm Chart 部署到 Kubernetes 集群；配置方式灵活，支持环境变量（如 CA_COMMON_NAME 定义根证书名称）、JSON/YAML 配置文件或命令行参数，无需复杂的预编译步骤。此外，镜像源码托管于 GitHub，用户可查看实现细节并参与安全审计，降低第三方依赖风险。

使用时，通过 docker pull ghcr.io/pkimetal/pkimetal 拉取最新版本，运行容器时挂载本地目录（如 /data/certs 存储生成的证书文件），并按需传入配置参数（如 --ca-expiry 3650d 设置根 CA 有效期为 10 年）。生成的证书可直接用于生产环境（需注意自签名证书的信任范围），或作为企业内部私有 CA 的基础组件扩展使用。