CZERTAINLY EJBCA NG 连接器

此仓库是开源项目 CZERTAINLY 的一部分。您可以在 CZERTAINLY 仓库中找到有关该项目的更多信息，包括贡献指南。

EJBCA NG 连接器实现了以下功能组（Function Groups）和类型（Kinds）：

EJBCA NG 连接器是 EJBCA 证书管理的实现，兼容 v2 客户端操作接口。该连接器基于 SOAP Web Services 调用开发，用于与 EJBCA 认证机构（CA）实例通信。

由于 EJBCA Web Service 存在一些限制（例如限制可获取的终端实体和证书数量），预计未来版本将支持 REST API 调用作为可选方式。

核心功能

EJBCA NG 连接器支持以下操作：

Authority Provider

• 签发证书
• 续期证书
• 吊销证书

Discovery Provider

• 发现证书

数据库要求

EJBCA NG 连接器需要 PostgreSQL 数据库存储数据。

工作流程概述

EJBCA NG 基于 RA Profiles 原理工作，核心流程如下：

1. 连接器提供与 EJBCA CA 实例的通信路径，支持通过同一连接器添加多个权威机构（Authorities）
2. 添加权威机构后，在其基础上创建 RA Profiles
3. 结合客户端通过 REST API 提供的 CSR 信息，连接器与权威机构通信获取证书

证书发现

EJBCA NG 连接器的证书发现功能依赖 EJBCA 的 V2 证书搜索 API，不支持不兼容该 API 的旧版 EJBCA。支持两种发现类型：

• EJBCA
• EJBCA_SCHEDULE

关键属性说明

RA Profile 属性

创建 RA Profile 需配置以下属性：

• 终端实体配置文件名称
• 证书配置文件名称
• 认证机构名称
• 密钥恢复启用/禁用
• 发送通知启用/禁用
• 用户名生成方法
• 用户名生成前缀
• 用户名生成后缀

签发证书属性

签发证书时可指定终端实体的可选属性：

• 电子邮件地址
• 主题备用名称
• 扩展数据

EJBCA 用户名及签发属性将作为元数据（Metadata）写入证书对象，供后续操作使用。

发现证书属性

从 EJBCA 发现证书时可使用以下筛选属性：

• 权威机构实例名称
• API 基础 URL
• 认证机构
• 证书配置文件
• 终端实体配置文件
• 证书签发日期（之后）

接口规范

EJBCA NG 连接器实现 v2 Authority Provider 和 Discovery Provider 接口。有关接口定义和端点详情，请参考 CZERTAINLY Interfaces。

Docker 部署

拉取镜像

docker pull czertainly/czertainly-ejbca-ng-connector:tagname

环境变量配置

连接器可通过以下环境变量配置：

代理设置

如需通过代理与外部系统通信，可配置以下环境变量：

代理配置示例：

HTTP_PROXY=[***]
HTTPS_PROXY=[***]
NO_PROXY=localhost,127.0.0.1,0.0.0.0,10.0.0.0/8,cattle-system.svc,.svc,.cluster.local,my-domain.local

更多信息

• 项目主页：CZERTAINLY
• 接口文档：CZERTAINLY Interfaces
• ***文档：CZERTAINLY 文档