热门搜索:

keyfactor/ejbca-ce

keyfactor

EJBCA®是开源的公钥基础设施（PKI）和证书颁发机构（CA）软件。

58 次收藏下载次数: 0状态：社区镜像维护者：keyfactor仓库类型：镜像最近更新：4 个月前

镜像标签列表与下载命令

EJBCA Community Edition Docker镜像文档

镜像概述和主要用途

EJBCA Community Edition（EJBCA CE）是一款开源的公钥基础设施（PKI）和证书颁发机构（CA）软件，是运行时间最长的CA软件项目之一。EJBCA平台独立，可满足从证书注册、证书管理到证书验证的全流程需求。

EJBCA基于Java开发，可在OpenJDK等JVM上运行，支持Linux、Windows等多数平台。EJBCA分为两个版本：

EJBCA Community（EJBCA CE）：免费开源，通过OSI认证的开源软件
EJBCA Enterprise（EJBCA EE）：商业版本，通过通用标准（Common Criteria）认证

最低系统要求：

至少2个CPU核心
至少1GB内存

核心功能和特性

基础PKI功能

EJBCA实例可部署用于以下一种或多种场景，支持从小型到超大型部署：

证书颁发机构（CA）

为设备、人员及其他实体颁发完全可定制的X.509证书
证书可用于提供安全性、身份验证、安全通信（如TLS/DTLS）或证明IoT设备的真实性
支持标准化的颁发、吊销等PKI协议，实现平滑集成和高度自动化

验证机构（VA）

回答证书是否有效的问题
支持在线证书状态协议（OCSP）进行在线检查
支持证书吊销列表（CRL），适用于间歇性联网或隔离环境

注册机构（RA）

自助服务门户，可将证书管理权限部分或全部委托给组织内的授权团队成员

使用场景和适用范围

EJBCA适用于需要建立和管理PKI的各类场景，包括但不限于：

企业内部PKI：为员工、服务器、网络设备颁发证书，实现身份认证和加密通信
IoT设备认证：为物联网设备颁发唯一证书，确保设备身份和数据传输安全
SSL/TLS证书管理：为网站、应用服务颁发和管理TLS证书，保障HTTPS通信
文档签名：提供数字签名证书，用于文档、代码等的真实性和完整性验证
大型分布式系统：支持集群部署，适用于超大规模PKI基础设施需求

使用方法和配置说明

获取镜像

通过Docker命令直接拉取最新EJBCA Community镜像：

bash
sudo docker pull keyfactor/ejbca-ce

快速启动

临时测试实例（无认证访问）

启动临时测试实例，允许无认证网络访问管理系统：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="simple" keyfactor/ejbca-ce

说明：

--rm：容器停止后自动删除
-p 80:8080：映射HTTP端口（8080容器内→80主机）
-p 443:8443：映射TLS端口（8443容器内→443主机）
-h mycahostname：设置容器主机名
TLS_SETUP_ENABLED="simple"：生成管理CA和服务器TLS证书，但允许任何人通过HTTPS管理系统（仅用于测试，生产环境禁用）

容器完全启动后，访问 https://mycahostname:443/ejbca/adminweb/ 进入管理界面。

经典工作流（客户端证书认证访问）

启动需要客户端证书认证的实例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="true" keyfactor/ejbca-ce

说明：

TLS_SETUP_ENABLED="true"：首次启动时生成管理CA，为服务器和初始管理员生成客户端TLS证书
容器启动后，控制台会输出管理员证书的注册信息，需将证书导入浏览器
重启浏览器（或使用隐私窗口）访问 https://mycahostname:443/ejbca/adminweb/，通过客户端证书认证

环境变量配置

容器行为可通过环境变量自定义，以下为关键配置：

安全参数

生产环境必须自定义以下安全相关密码：

环境变量	描述
`PASSWORD_ENCRYPTION_KEY`	用于加密EJBCA中的密码（如终端实体明文密码、加密令牌密码等），首次安装前设置，不可更改
`CA_KEYSTOREPASS`	保护数据库中软件加密令牌（非HSM）的默认密码，建议为加密令牌手动设置密码
`EJBCA_CLI_DEFAULTPASSWORD`	本地命令行界面（CLI）的默认用户（'ejbca'）密码

设置示例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e PASSWORD_ENCRYPTION_KEY="myrandomkey" \
  -e CA_KEYSTOREPASS="anotherrandomkey" \
  -e EJBCA_CLI_DEFAULTPASSWORD="randompassphrase" \
  keyfactor/ejbca-ce

其他重要环境变量

通过 docker inspect keyfactor/ejbca-ce:latest 可查看所有环境变量及默认值，常用变量包括：

环境变量	描述	默认值
`LOG_LEVEL_APP`	应用日志级别	`INFO`
`TLS_SETUP_ENABLED`	TLS配置模式：`true`（生成CA和证书）、`simple`（无认证访问）、`later`（代理TLS）、`false`（禁用TLS）	`true`（首次启动）
`DATABASE_JDBC_URL`	数据库JDBC连接URL	`jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1`
`DATABASE_USER`	数据库用户名（外部数据库时必填）	-
`DATABASE_PASSWORD`	数据库密码（外部数据库时必填）	-

外部数据库配置

EJBCA支持外部数据库实现集群部署，默认使用内置H2数据库（仅适合测试），生产环境建议使用MariaDB/MySQL或PostgreSQL。

数据库连接URL格式

数据库类型	JDBC URL示例
H2（持久化）	`jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1`
H2（内存，非持久化）	`jdbc:h2:mem:ejbcadb;DB_CLOSE_DELAY=-1`
MariaDB/MySQL	`jdbc:mariadb://database:3306/ejbca?characterEncoding=UTF-8`
PostgreSQL	`jdbc:postgresql://database/ejbca`

使用外部数据库示例（MariaDB）

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e TLS_SETUP_ENABLED="true" \
  -e DATABASE_JDBC_URL="jdbc:mariadb://172.26.0.1:3306/ejbcatest?characterEncoding=UTF-8" \
  -e DATABASE_USER="ejbca" \
  -e DATABASE_PASSWORD="password" \
  keyfactor/ejbca-ce

注意：首次启动时会自动创建数据库表结构，后续启动将复用现有数据。

代理后端配置

适用于在反向代理（如Nginx、Apache Httpd）后部署，需禁用容器内部TLS配置，通过代理处理TLS。

关键配置变量

环境变量	描述
`PROXY_AJP_BIND`	AJP代理端口（8009）绑定的IP地址
`PROXY_HTTP_BIND`	HTTP后端端口（8081和8082）绑定的IP地址，8082接受`SSL_CLIENT_CERT`头
`TLS_SETUP_ENABLED`	需设置为`later`（代理TLS）或`false`（禁用TLS），不可与`true`同时使用

说明：配置代理后会禁用管理CA创建，需手动配置EJBCA。

邮件通知配置

EJBCA通过JavaMail服务发送邮件通知，可通过环境变量配置SMTP参数：

环境变量	描述	默认值
`SMTP_DESTINATION`	SMTP服务器地址	`localhost`
`SMTP_DESTINATION_PORT`	SMTP端口	`25`
`SMTP_TLS_ENABLED`	启用TLS	`true`
`SMTP_SSL_ENABLED`	启用SSL	`true`
`SMTP_USERNAME`	SMTP认证用户名	-
`SMTP_PASSWORD`	SMTP认证密码	-
`SMTP_FROM`	发件人***	-

Gmail SMTP示例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e TLS_SETUP_ENABLED="simple" \
  -e SMTP_DESTINATION="smtp.gmail.com" \
  -e SMTP_DESTINATION_PORT="587" \
  -e SMTP_USERNAME="user@gmail.com" \
  -e SMTP_PASSWORD="userssecretpassword" \
  -e SMTP_FROM="user@gmail.com" \
  -e SMTP_SSL_ENABLED="false" \
  keyfactor/ejbca-ce

重要目录说明

以下目录用于持久化数据、配置和密钥，生产环境建议通过Docker卷挂载：

目录路径	用途
`/mnt/persistent`	H2数据库持久化目录（默认），需通过卷挂载以保留数据
`/mnt/external/secrets/tls/cas`	DER编码的CA证书目录，文件名作为CA名称（如`ManagementCA.crt`）
`/mnt/external/secrets/tls/ks`	服务器密钥库目录，需包含`server.jks`、`server.storepasswd`等文件
`/mnt/external/secrets/tls/ts`	信任库目录，需包含`truststore.jks`、`truststore.storepasswd`文件
`/opt/keyfactor/ejbca/conf`	应用配置文件目录，可覆盖配置属性
`/opt/keyfactor/bin`	启动脚本和CLI命令（如`ejbca.sh`、`ejbcaClientToolBox.sh`）

Docker部署示例

1. 使用外部H2数据库卷持久化数据

bash
# 创建卷
docker volume create ejbca-persistent-data

# 启动容器，挂载卷
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -v ejbca-persistent-data:/mnt/persistent \
  keyfactor/ejbca-ce

2. 自定义HTTPS端口

bash
# 映射主机9443端口到容器8443端口
docker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname keyfactor/ejbca-ce

修复静态链接端口：
创建web.properties文件，设置httpserver.external.privhttps=9443，挂载到容器：

bash
docker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname \
  -v $PWD/config/web.properties:/opt/primekey/ejbca/conf/web.properties \
  keyfactor/ejbca-ce

3. 挂载外部插件

bash
# 创建插件目录并放入JAR文件
mkdir -p ejbca-plugins && cp my-plugin.jar ejbca-plugins/

# 启动容器，挂载插件目录
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -v $PWD/ejbca-plugins:/opt/primekey/ejbca/plugins \
  keyfactor/ejbca-ce

社区支持与资源

社区支持

社区贡献：开源项目，欢迎贡献代码和文档
支持方式：无SLA，基于社区最佳努力支持
参与渠道：EJBCA社区指南

商业支持

EJBCA Enterprise版本提供商业支持，详情见EJBCA Enterprise。

教程资源

***教程：KeyfactorCommunity频道，包括：
- EJBCA Docker容器快速启动
- Kubernetes部署EJBCA容器
- 使用Helm部署EJBCA
文档：EJBCA官方文档

许可证

EJBCA Community版基于LGPL许可证开源。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 ejbca-ce 镜像标签

docker pull docker.xuanyuan.run/keyfactor/ejbca-ce:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull keyfactor/ejbca-ce:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

热门搜索:

keyfactor/ejbca-ce

keyfactor

EJBCA®是开源的公钥基础设施（PKI）和证书颁发机构（CA）软件。

58 次收藏下载次数: 0状态：社区镜像维护者：keyfactor仓库类型：镜像最近更新：4 个月前

镜像标签列表与下载命令

EJBCA Community Edition Docker镜像文档

镜像概述和主要用途

EJBCA基于Java开发，可在OpenJDK等JVM上运行，支持Linux、Windows等多数平台。EJBCA分为两个版本：

EJBCA Community（EJBCA CE）：免费开源，通过OSI认证的开源软件
EJBCA Enterprise（EJBCA EE）：商业版本，通过通用标准（Common Criteria）认证

最低系统要求：

至少2个CPU核心
至少1GB内存

核心功能和特性

基础PKI功能

EJBCA实例可部署用于以下一种或多种场景，支持从小型到超大型部署：

证书颁发机构（CA）

为设备、人员及其他实体颁发完全可定制的X.509证书
证书可用于提供安全性、身份验证、安全通信（如TLS/DTLS）或证明IoT设备的真实性
支持标准化的颁发、吊销等PKI协议，实现平滑集成和高度自动化

验证机构（VA）

回答证书是否有效的问题
支持在线证书状态协议（OCSP）进行在线检查
支持证书吊销列表（CRL），适用于间歇性联网或隔离环境

注册机构（RA）

自助服务门户，可将证书管理权限部分或全部委托给组织内的授权团队成员

使用场景和适用范围

EJBCA适用于需要建立和管理PKI的各类场景，包括但不限于：

企业内部PKI：为员工、服务器、网络设备颁发证书，实现身份认证和加密通信
IoT设备认证：为物联网设备颁发唯一证书，确保设备身份和数据传输安全
SSL/TLS证书管理：为网站、应用服务颁发和管理TLS证书，保障HTTPS通信
文档签名：提供数字签名证书，用于文档、代码等的真实性和完整性验证
大型分布式系统：支持集群部署，适用于超大规模PKI基础设施需求

使用方法和配置说明

获取镜像

通过Docker命令直接拉取最新EJBCA Community镜像：

bash
sudo docker pull keyfactor/ejbca-ce

快速启动

临时测试实例（无认证访问）

启动临时测试实例，允许无认证网络访问管理系统：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="simple" keyfactor/ejbca-ce

说明：

--rm：容器停止后自动删除
-p 80:8080：映射HTTP端口（8080容器内→80主机）
-p 443:8443：映射TLS端口（8443容器内→443主机）
-h mycahostname：设置容器主机名
TLS_SETUP_ENABLED="simple"：生成管理CA和服务器TLS证书，但允许任何人通过HTTPS管理系统（仅用于测试，生产环境禁用）

容器完全启动后，访问 https://mycahostname:443/ejbca/adminweb/ 进入管理界面。

经典工作流（客户端证书认证访问）

启动需要客户端证书认证的实例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="true" keyfactor/ejbca-ce

说明：

TLS_SETUP_ENABLED="true"：首次启动时生成管理CA，为服务器和初始管理员生成客户端TLS证书
容器启动后，控制台会输出管理员证书的注册信息，需将证书导入浏览器
重启浏览器（或使用隐私窗口）访问 https://mycahostname:443/ejbca/adminweb/，通过客户端证书认证

环境变量配置

容器行为可通过环境变量自定义，以下为关键配置：

安全参数

生产环境必须自定义以下安全相关密码：

环境变量	描述
`PASSWORD_ENCRYPTION_KEY`	用于加密EJBCA中的密码（如终端实体明文密码、加密令牌密码等），首次安装前设置，不可更改
`CA_KEYSTOREPASS`	保护数据库中软件加密令牌（非HSM）的默认密码，建议为加密令牌手动设置密码
`EJBCA_CLI_DEFAULTPASSWORD`	本地命令行界面（CLI）的默认用户（'ejbca'）密码

设置示例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e PASSWORD_ENCRYPTION_KEY="myrandomkey" \
  -e CA_KEYSTOREPASS="anotherrandomkey" \
  -e EJBCA_CLI_DEFAULTPASSWORD="randompassphrase" \
  keyfactor/ejbca-ce

其他重要环境变量

通过 docker inspect keyfactor/ejbca-ce:latest 可查看所有环境变量及默认值，常用变量包括：

环境变量	描述	默认值
`LOG_LEVEL_APP`	应用日志级别	`INFO`
`TLS_SETUP_ENABLED`	TLS配置模式：`true`（生成CA和证书）、`simple`（无认证访问）、`later`（代理TLS）、`false`（禁用TLS）	`true`（首次启动）
`DATABASE_JDBC_URL`	数据库JDBC连接URL	`jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1`
`DATABASE_USER`	数据库用户名（外部数据库时必填）	-
`DATABASE_PASSWORD`	数据库密码（外部数据库时必填）	-

外部数据库配置

EJBCA支持外部数据库实现集群部署，默认使用内置H2数据库（仅适合测试），生产环境建议使用MariaDB/MySQL或PostgreSQL。

数据库连接URL格式

数据库类型	JDBC URL示例
H2（持久化）	`jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1`
H2（内存，非持久化）	`jdbc:h2:mem:ejbcadb;DB_CLOSE_DELAY=-1`
MariaDB/MySQL	`jdbc:mariadb://database:3306/ejbca?characterEncoding=UTF-8`
PostgreSQL	`jdbc:postgresql://database/ejbca`

使用外部数据库示例（MariaDB）

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e TLS_SETUP_ENABLED="true" \
  -e DATABASE_JDBC_URL="jdbc:mariadb://172.26.0.1:3306/ejbcatest?characterEncoding=UTF-8" \
  -e DATABASE_USER="ejbca" \
  -e DATABASE_PASSWORD="password" \
  keyfactor/ejbca-ce

注意：首次启动时会自动创建数据库表结构，后续启动将复用现有数据。

代理后端配置

适用于在反向代理（如Nginx、Apache Httpd）后部署，需禁用容器内部TLS配置，通过代理处理TLS。

关键配置变量

环境变量	描述
`PROXY_AJP_BIND`	AJP代理端口（8009）绑定的IP地址
`PROXY_HTTP_BIND`	HTTP后端端口（8081和8082）绑定的IP地址，8082接受`SSL_CLIENT_CERT`头
`TLS_SETUP_ENABLED`	需设置为`later`（代理TLS）或`false`（禁用TLS），不可与`true`同时使用

说明：配置代理后会禁用管理CA创建，需手动配置EJBCA。

邮件通知配置

EJBCA通过JavaMail服务发送邮件通知，可通过环境变量配置SMTP参数：

环境变量	描述	默认值
`SMTP_DESTINATION`	SMTP服务器地址	`localhost`
`SMTP_DESTINATION_PORT`	SMTP端口	`25`
`SMTP_TLS_ENABLED`	启用TLS	`true`
`SMTP_SSL_ENABLED`	启用SSL	`true`
`SMTP_USERNAME`	SMTP认证用户名	-
`SMTP_PASSWORD`	SMTP认证密码	-
`SMTP_FROM`	发件人***	-

Gmail SMTP示例：

bash
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -e TLS_SETUP_ENABLED="simple" \
  -e SMTP_DESTINATION="smtp.gmail.com" \
  -e SMTP_DESTINATION_PORT="587" \
  -e SMTP_USERNAME="user@gmail.com" \
  -e SMTP_PASSWORD="userssecretpassword" \
  -e SMTP_FROM="user@gmail.com" \
  -e SMTP_SSL_ENABLED="false" \
  keyfactor/ejbca-ce

重要目录说明

以下目录用于持久化数据、配置和密钥，生产环境建议通过Docker卷挂载：

目录路径	用途
`/mnt/persistent`	H2数据库持久化目录（默认），需通过卷挂载以保留数据
`/mnt/external/secrets/tls/cas`	DER编码的CA证书目录，文件名作为CA名称（如`ManagementCA.crt`）
`/mnt/external/secrets/tls/ks`	服务器密钥库目录，需包含`server.jks`、`server.storepasswd`等文件
`/mnt/external/secrets/tls/ts`	信任库目录，需包含`truststore.jks`、`truststore.storepasswd`文件
`/opt/keyfactor/ejbca/conf`	应用配置文件目录，可覆盖配置属性
`/opt/keyfactor/bin`	启动脚本和CLI命令（如`ejbca.sh`、`ejbcaClientToolBox.sh`）

Docker部署示例

1. 使用外部H2数据库卷持久化数据

bash
# 创建卷
docker volume create ejbca-persistent-data

# 启动容器，挂载卷
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -v ejbca-persistent-data:/mnt/persistent \
  keyfactor/ejbca-ce

2. 自定义HTTPS端口

bash
# 映射主机9443端口到容器8443端口
docker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname keyfactor/ejbca-ce

修复静态链接端口：
创建web.properties文件，设置httpserver.external.privhttps=9443，挂载到容器：

bash
docker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname \
  -v $PWD/config/web.properties:/opt/primekey/ejbca/conf/web.properties \
  keyfactor/ejbca-ce

3. 挂载外部插件

bash
# 创建插件目录并放入JAR文件
mkdir -p ejbca-plugins && cp my-plugin.jar ejbca-plugins/

# 启动容器，挂载插件目录
docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \
  -v $PWD/ejbca-plugins:/opt/primekey/ejbca/plugins \
  keyfactor/ejbca-ce

社区支持与资源

社区支持

社区贡献：开源项目，欢迎贡献代码和文档
支持方式：无SLA，基于社区最佳努力支持
参与渠道：EJBCA社区指南

商业支持

EJBCA Enterprise版本提供商业支持，详情见EJBCA Enterprise。

教程资源

***教程：KeyfactorCommunity频道，包括：
- EJBCA Docker容器快速启动
- Kubernetes部署EJBCA容器
- 使用Helm部署EJBCA
文档：EJBCA官方文档

许可证

EJBCA Community版基于LGPL许可证开源。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 ejbca-ce 镜像标签

docker pull docker.xuanyuan.run/keyfactor/ejbca-ce:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull keyfactor/ejbca-ce:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

keyfactor/ejbca-ce

EJBCA®是开源的公钥基础设施（PKI）和证书颁发机构（CA）软件。

EJBCA Community Edition Docker镜像文档

镜像概述和主要用途

核心功能和特性

基础PKI功能

使用场景和适用范围

使用方法和配置说明

获取镜像

快速启动

环境变量配置

外部数据库配置

代理后端配置

邮件通知配置

重要目录说明

Docker部署示例

1. 使用外部H2数据库卷持久化数据

2. 自定义HTTPS端口

3. 挂载外部插件

社区支持与资源

社区支持

商业支持

教程资源

许可证

镜像拉取方式

轩辕镜像加速拉取命令点我查看更多 ejbca-ce 镜像标签

DockerHub 原生拉取命令

更多 ejbca-ce 镜像推荐

primekey/ejbca-ce

bitnami/ejbca

bitnamicharts/ejbca

keyfactor/ejbca-cert-manager-issuer

3keycompany/czertainly-ejbca-ng-connector

bitnamilegacy/ejbca

查看更多 ejbca-ce 相关镜像

轩辕镜像配置手册

Docker 配置

登录仓库拉取

专属域名拉取

K8s Containerd

K3s

Dev Containers

Podman

Singularity/Apptainer

其他仓库配置

Harbor 镜像源配置

Portainer 镜像源配置

Nexus 镜像源配置

系统配置

Linux

Windows/Mac

MacOS OrbStack

Docker Compose

NAS 设备

群晖

飞牛

绿联

威联通

极空间

网络设备

爱快路由

宝塔面板

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

机器不能直连外网时，怎么用 docker save / load 迁镜像？

docker pull 拉插件报错（plugin v1+json）怎么办？

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

docker pull 提示 no matching manifest 怎么办？

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

docker 无法连接轩辕镜像域名怎么办？

Docker 拉取出现 410 Gone 怎么办？