CAS单点登录学习笔记三之HTTPS 单向认证方式 服务端和客户端配置

CAS单点登录

概述

（1）CAS简介
（2）CAS官网

环境配置

• 在同一个机器上配置三个虚拟机
• windows7_32位
• JDK 1.6.0_18
• Tomcat 6.0.29
• CAS-server-3.4.11
• CAS-client-3.2.1

配置host

根据演示需求，用修改hosts 文件的方法添加域名
在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条

127.0.0.1    demo.tch.com ##服务器，即名字与姓氏
127.0.0.1    app1.tch.com ##客户端，即本地服务工程名称
127.0.0.1    app2.tch.com ##客户端，即本地服务工程名称

说明：
（1）demo.tch.com：对应部署cas server的tomcat，这个虚拟域名还用于证书生成
（2）app1.tch.com：对应部署app1的tomcat
（3）app2.tch.com：对应部署app2的tomcat

配置JDK

JDK配置

安全证书配置

java keytool证书工具使用小结

（0）建立文件夹：D:\study\sso\tomcat-cas（将tomcat解压后改名）





（1）生成服务端密钥文件并生成证书

a.win+r ,打开 Tomcat的安装路径，复制并粘贴如下命令到控制台中，回车执行

keytool -genkey -alias casserver -keyalg RSA -keysize 1024 -keypass 123456 -keystore ssodemo.keystore -storepass 123456 -validity 365

实现：


说明：

• -keypass 123456 和 -storepass 123456 两个密码要一致，否则下面tomcat 配置https 访问失败
• -keystore ssodemo.keystore 生成证书的名称
• 名字与姓氏：与要访问的域名保持一致，通过在HOST中配置该域名，可通过域名直接访问服务器
• 最后一步，输入y（YES）

命令执行后，查看文件夹，多出了一个证书文件



问题解释：
再次配置时会出现 casserver 已存在的提示，解决方式删除配置过的证书

范式：keytool -delete -alias 指定需删除的别 -keystore 指定keystore – storepass 密码

执行命令：keytool -delete -alias casserver -keystore ssodemo.keystore -storepass 123456

（2）导出证书：
复制并执行如下命令：

keytool -export -alias casserver -storepass 123456 -file ssodemo.cer -keystore ssodemo.keystore

控制台：


文件夹：



注意：

• -storepass 123456 为上面生成证书时设置的密码
• -file ssodemo.cer 导出的证书名称
• 保存文件路径中不能包含空格，否则命令不识别
• 命令输入时，单词之间以空格间隔，否则命令不识别

（3）客户端导入证书

keytool -import -trustcacerts -alias casserver -storepass 123456  -file ssodemo.cer -keystore cacerts

控制台



文件夹：




以上tools工具的使用：
客户端服务器端配置

问题解释：若提示密码不正确，将密码改为changeit 再试

问题参考：keytool工具java.io.IOException: Keystore was tampered with, or password was incorrect 异常的解决办法

CAS Server端配置

（1）配置HTTPS

打开 Tomcat 安装目录 conf\server.xml
找到并修改如下代码
在制作完成密钥文件、证书文件、密钥库文件后即可进行服务端Tomcat的配置。打开$CATALINA_HOME/conf/server.xml文件，注释掉如下代码段：



<Connector port="80"protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/>



并取消注释<Connectorport="8443" protocol="HTTP/1.1" SSLEnabled="true"…/>代码段

    <!--
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
  keystoreFile="D:/study/sso/tomcat-cas/ssodemo.keystore"  
  keystorePass="123456"  
  URIEncoding="UTF-8"  		   
			   
               clientAuth="false" sslProtocol="TLS" />
    -->

此处参考：CAS单点登录学习笔记四之HTTPS 单向认证方式 服务端和客户端配置

说明：

• keystoreFile 是创建证书的路径
• keystorePass 是创建证书的密码
• port一般为8443或443，最常用的是443端口（https默认端口），这样https方式访问的时候可以不加端口号（如：https://sso.demo.com/cas/login）；keystoreFile为tomcat目录下的密钥文件；keystorePass为私钥密码；truststoreFile为生成的信任文件，如果此处不指定则默认为$JAVA_HOME/jre/lib/security/cacerts文件；其它属性默认即可

注意：若设置为8443端口，要在域名后面添加上端口号
https://demo.tch.com:8443/cas/login

要配置truststoreFile为tomcat下的cacerts文件
另外浏览器使用谷歌浏览，否则登陆https://sso.demo.com/cas/login时无响应
提示是否访问，点击是



生成客户端密钥库文件
    单向认证的客户端配置只需生成客户端信任文件caserts即可。首先将服务端生成的证书文件（之前生成的casserver.cer文件）复制到$JAVA_HOME/jre/lib/security下，然后打开CMD窗口切换到$JAVA_HOME/jre/lib/security下并执行命令：

keytool -import -trustcacerts -alias casclient -storepass changeit -file ssodemo.cer -keystore cacerts

需要制定ssodemo.cer的具体路径 注意使用/而非\

控制台：



文件夹：


说明：
（1）JDK JRE security  storepass 默认密码 changeit
（2）ssodemo.cer 文件为之前配置的文件，若执行命令时出现找不到文件的错误，仔细检查文件存放路径

配置HOST后

访问：
http://localhost:8081/cas/login
或通过域名访问
http://demo.tch.com:8081/cas/login




博文参考：
CAS单点登录学习笔记四之HTTPS 单向认证方式 服务端和客户端配置
基于CAS实现单点登录（SSO）：实例讲解