keyfactor/ejbca-ce Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
keyfactor/ejbca-cekeyfactor
EJBCA®是开源的公钥基础设施(PKI)和证书颁发机构(CA)软件。
56 次收藏下载次数: 0状态:社区镜像维护者:keyfactor仓库类型:镜像最近更新:2 个月前
EJBCA Community Edition Docker镜像文档
镜像概述和主要用途
EJBCA Community Edition(EJBCA CE)是一款开源的公钥基础设施(PKI)和证书颁发机构(CA)软件,是运行时间最长的CA软件项目之一。EJBCA平台独立,可满足从证书注册、证书管理到证书验证的全流程需求。
EJBCA基于Java开发,可在OpenJDK等JVM上运行,支持Linux、Windows等多数平台。EJBCA分为两个版本:
- EJBCA Community(EJBCA CE):免费开源,通过OSI认证的开源软件
- EJBCA Enterprise(EJBCA EE):商业版本,通过通用标准(Common Criteria)认证
最低系统要求:
- 至少2个CPU核心
- 至少1GB内存
核心功能和特性
基础PKI功能
EJBCA实例可部署用于以下一种或多种场景,支持从小型到超大型部署:
证书颁发机构(CA)
- 为设备、人员及其他实体颁发完全可定制的X.509证书
- 证书可用于提供安全性、身份验证、安全通信(如TLS/DTLS)或证明IoT设备的真实性
- 支持标准化的颁发、吊销等PKI协议,实现平滑集成和高度自动化
验证机构(VA)
- 回答证书是否有效的问题
- 支持在线证书状态协议(OCSP)进行在线检查
- 支持证书吊销列表(CRL),适用于间歇性联网或隔离环境
注册机构(RA)
- 自助服务门户,可将证书管理权限部分或全部委托给组织内的授权团队成员
使用场景和适用范围
EJBCA适用于需要建立和管理PKI的各类场景,包括但不限于:
- 企业内部PKI:为员工、服务器、网络设备颁发证书,实现身份认证和加密通信
- IoT设备认证:为物联网设备颁发唯一证书,确保设备身份和数据传输安全
- SSL/TLS证书管理:为网站、应用服务颁发和管理TLS证书,保障HTTPS通信
- 文档签名:提供数字签名证书,用于文档、代码等的真实性和完整性验证
- 大型分布式系统:支持集群部署,适用于超大规模PKI基础设施需求
使用方法和配置说明
获取镜像
通过Docker命令直接拉取最新EJBCA Community镜像:
bashsudo docker pull keyfactor/ejbca-ce
快速启动
临时测试实例(无认证访问)
启动临时测试实例,允许无认证网络访问管理系统:
bashdocker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="simple" keyfactor/ejbca-ce
说明:
--rm:容器停止后自动删除-p 80:8080:映射HTTP端口(8080容器内→80主机)-p 443:8443:映射TLS端口(8443容器内→443主机)-h mycahostname:设置容器主机名TLS_SETUP_ENABLED="simple":生成管理CA和服务器TLS证书,但允许任何人通过HTTPS管理系统(仅用于测试,生产环境禁用)
容器完全启动后,访问 [***] 进入管理界面。
经典工作流(客户端证书认证访问)
启动需要客户端证书认证的实例:
bashdocker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname -e TLS_SETUP_ENABLED="true" keyfactor/ejbca-ce
说明:
TLS_SETUP_ENABLED="true":首次启动时生成管理CA,为服务器和初始管理员生成客户端TLS证书- 容器启动后,控制台会输出管理员证书的注册信息,需将证书导入浏览器
- 重启浏览器(或使用隐私窗口)访问
[***],通过客户端证书认证
环境变量配置
容器行为可通过环境变量自定义,以下为关键配置:
安全参数
生产环境必须自定义以下安全相关密码:
| 环境变量 | 描述 |
|---|---|
PASSWORD_ENCRYPTION_KEY | 用于加密EJBCA中的密码(如终端实体明文密码、加密令牌密码等),首次安装前设置,不可更改 |
CA_KEYSTOREPASS | 保护数据库中软件加密令牌(非HSM)的默认密码,建议为加密令牌手动设置密码 |
EJBCA_CLI_DEFAULTPASSWORD | 本地命令行界面(CLI)的默认用户('ejbca')密码 |
设置示例:
bashdocker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \ -e PASSWORD_ENCRYPTION_KEY="myrandomkey" \ -e CA_KEYSTOREPASS="anotherrandomkey" \ -e EJBCA_CLI_DEFAULTPASSWORD="randompassphrase" \ keyfactor/ejbca-ce
其他重要环境变量
通过 docker inspect keyfactor/ejbca-ce:latest 可查看所有环境变量及默认值,常用变量包括:
| 环境变量 | 描述 | 默认值 |
|---|---|---|
LOG_LEVEL_APP | 应用日志级别 | INFO |
TLS_SETUP_ENABLED | TLS配置模式:true(生成CA和证书)、simple(无认证访问)、later(代理TLS)、false(禁用TLS) | true(首次启动) |
DATABASE_JDBC_URL | 数据库JDBC连接URL | jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1 |
DATABASE_USER | 数据库用户名(外部数据库时必填) | - |
DATABASE_PASSWORD | 数据库密码(外部数据库时必填) | - |
外部数据库配置
EJBCA支持外部数据库实现集群部署,默认使用内置H2数据库(仅适合测试),生产环境建议使用MariaDB/MySQL或PostgreSQL。
数据库连接URL格式
| 数据库类型 | JDBC URL示例 |
|---|---|
| H2(持久化) | jdbc:h2:/mnt/persistent/ejbcadb;DB_CLOSE_DELAY=-1 |
| H2(内存,非持久化) | jdbc:h2:mem:ejbcadb;DB_CLOSE_DELAY=-1 |
| MariaDB/MySQL | jdbc:mariadb://database:3306/ejbca?characterEncoding=UTF-8 |
| PostgreSQL | jdbc:postgresql://database/ejbca |
使用外部数据库示例(MariaDB)
bashdocker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \ -e TLS_SETUP_ENABLED="true" \ -e DATABASE_JDBC_URL="jdbc:mariadb://172.26.0.1:3306/ejbcatest?characterEncoding=UTF-8" \ -e DATABASE_USER="ejbca" \ -e DATABASE_PASSWORD="password" \ keyfactor/ejbca-ce
注意:首次启动时会自动创建数据库表结构,后续启动将复用现有数据。
代理后端配置
适用于在反向代理(如Nginx、Apache Httpd)后部署,需禁用容器内部TLS配置,通过代理处理TLS。
关键配置变量
| 环境变量 | 描述 |
|---|---|
PROXY_AJP_BIND | AJP代理端口(8009)绑定的IP地址 |
PROXY_HTTP_BIND | HTTP后端端口(8081和8082)绑定的IP地址,8082接受SSL_CLIENT_CERT头 |
TLS_SETUP_ENABLED | 需设置为later(代理TLS)或false(禁用TLS),不可与true同时使用 |
说明:配置代理后会禁用管理CA创建,需手动配置EJBCA。
邮件通知配置
EJBCA通过JavaMail服务发送邮件通知,可通过环境变量配置SMTP参数:
| 环境变量 | 描述 | 默认值 |
|---|---|---|
SMTP_DESTINATION | SMTP服务器地址 | localhost |
SMTP_DESTINATION_PORT | SMTP端口 | 25 |
SMTP_TLS_ENABLED | 启用TLS | true |
SMTP_SSL_ENABLED | 启用SSL | true |
SMTP_USERNAME | SMTP认证用户名 | - |
SMTP_PASSWORD | SMTP认证密码 | - |
SMTP_FROM | 发件人*** | - |
Gmail SMTP示例:
bashdocker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \ -e TLS_SETUP_ENABLED="simple" \ -e SMTP_DESTINATION="smtp.gmail.com" \ -e SMTP_DESTINATION_PORT="587" \ -e SMTP_USERNAME="***" \ -e SMTP_PASSWORD="userssecretpassword" \ -e SMTP_FROM="***" \ -e SMTP_SSL_ENABLED="false" \ keyfactor/ejbca-ce
重要目录说明
以下目录用于持久化数据、配置和密钥,生产环境建议通过Docker卷挂载:
| 目录路径 | 用途 |
|---|---|
/mnt/persistent | H2数据库持久化目录(默认),需通过卷挂载以保留数据 |
/mnt/external/secrets/tls/cas | DER编码的CA证书目录,文件名作为CA名称(如ManagementCA.crt) |
/mnt/external/secrets/tls/ks | 服务器密钥库目录,需包含server.jks、server.storepasswd等文件 |
/mnt/external/secrets/tls/ts | 信任库目录,需包含truststore.jks、truststore.storepasswd文件 |
/opt/keyfactor/ejbca/conf | 应用配置文件目录,可覆盖配置属性 |
/opt/keyfactor/bin | 启动脚本和CLI命令(如ejbca.sh、ejbcaClientToolBox.sh) |
Docker部署示例
1. 使用外部H2数据库卷持久化数据
bash# 创建卷 docker volume create ejbca-persistent-data # 启动容器,挂载卷 docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \ -v ejbca-persistent-data:/mnt/persistent \ keyfactor/ejbca-ce
2. 自定义HTTPS端口
bash# 映射主机9443端口到容器8443端口 docker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname keyfactor/ejbca-ce
修复静态链接端口:
创建web.properties文件,设置httpserver.external.privhttps=9443,挂载到容器:
bashdocker run -it --rm -p 80:8080 -p 9443:8443 -h mycahostname \ -v $PWD/config/web.properties:/opt/primekey/ejbca/conf/web.properties \ keyfactor/ejbca-ce
3. 挂载外部插件
bash# 创建插件目录并放入JAR文件 mkdir -p ejbca-plugins && cp my-plugin.jar ejbca-plugins/ # 启动容器,挂载插件目录 docker run -it --rm -p 80:8080 -p 443:8443 -h mycahostname \ -v $PWD/ejbca-plugins:/opt/primekey/ejbca/plugins \ keyfactor/ejbca-ce
社区支持与资源
社区支持
- 社区贡献:开源项目,欢迎贡献代码和文档
- 支持方式:无SLA,基于社区最佳努力支持
- 参与渠道:EJBCA社区指南
商业支持
EJBCA Enterprise版本提供商业支持,详情见EJBCA Enterprise。
教程资源
- ***教程:KeyfactorCommunity频道,包括:
- EJBCA Docker容器快速启动
- Kubernetes部署EJBCA容器
- 使用Helm部署EJBCA
- 文档:EJBCA官方文档
许可证
EJBCA Community版基于LGPL许可证开源。
bitnamicharts/ejbca
bitnamicharts
Bitnami提供的EJBCA Helm chart,用于在Kubernetes集群上部署企业级PKI证书颁发机构(EJBCA),包含MariaDB数据库支持,适用于证书管理与PKI基础设施搭建。
10万+ 次下载
6 个月前更新
bitnami/ejbca
bitnami
Bitnami Secure Image for ejbca是预配置且安全加固的企业级Java证书颁发机构(ejbca)镜像,用于高效管理数字证书的颁发、吊销与生命周期。
2 次收藏10万+ 次下载
6 个月前更新
keyfactor/ejbca-cert-manager-issuer
keyfactor
Keyfactor EJBCA提供的cert-manager外部签发者,用于使cert-manager通过EJBCA签发证书。
1 次收藏1万+ 次下载
15 天前更新
3keycompany/czertainly-ejbca-ng-connector
3keycompany
CZERTAINLY EJBCA NG连接器,用于EJBCA的证书管理与发现,实现v2客户端操作接口,支持SOAP Web Services通信,提供证书签发、续期、吊销及发现功能。
500万+ 次下载
10 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"