再谈CAS的HTTPS证书问题

在我们学习CAS的部署时候，常常要涉及到HTTPS的证书发布问题。由于在实验环境中，CAS和应用服务常常是共用一台PC机，它们跑在相同的JRE环境和Tomcat服务器上，就造成了很多学习CAS的兄弟搞不清证书的实际用途，一旦将CAS和应用分布部署在不同的机器上时，就晕了！

这里我们假设如下实验环境来说明相应的部署

机器A： 部署CAS服务
机器B： 部署OA应用
机器C： 用户浏览器端

1.由机器A上生成.keystore的证书文件，证书颁发者是机器A的完全域名
2.机器A上用于部署CAS的Tomcat的server.xml文件中定义HTTPS的配置，指向.keystore文件证书

3.从.keystore中导出的凭证文件要copy到机器B上，并导入机器B的JRE环境的证书库中
4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上，而不是JDK，这点常有人搞错。

更多证书生成导出细节参考 http://linliangyi2007.iteye.com/blog/165304
更多CAS部署的细节参考 http://linliangyi2007.iteye.com/blog/165307

评论

5 楼 yuanqixun 2010-02-21  

请问楼主，如何避免确认数字证书的过程？老是让用户去确认，感觉体验不是很好哦。

linliangyi2007 写道

在我们学习CAS的部署时候，常常要涉及到HTTPS的证书发布问题。由于在实验环境中，CAS和应用服务常常是共用一台PC机，它们跑在相同的JRE环境和Tomcat服务器上，就造成了很多学习CAS的兄弟搞不清证书的实际用途，一旦将CAS和应用分布部署在不同的机器上时，就晕了！

这里我们假设如下实验环境来说明相应的部署

机器A： 部署CAS服务
机器B： 部署OA应用
机器C： 用户浏览器端

1.由机器A上生成.keystore的证书文件，证书颁发者是机器A的完全域名
2.机器A上用于部署CAS的Tomcat的server.xml文件中定义HTTPS的配置，指向.keystore文件证书

3.从.keystore中导出的凭证文件要copy到机器B上，并导入机器B的JRE环境的证书库中
4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上，而不是JDK，这点常有人搞错。

更多证书生成导出细节参考 http://linliangyi2007.iteye.com/blog/165304
更多CAS部署的细节参考 http://linliangyi2007.iteye.com/blog/165307

4 楼 danni505 2009-05-08  

4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上，而不是JDK，这点常有人搞错。
看到这里我也想说几句，比如你要使用长密码加密，那么就会要使用JCE去替换掉我们机器上的$JAVA_HOME下的lib/security的内容，那么你仔细点就会发现在jdk和jre中都有这个目录，但他们的作用是不一样的，如果你想楼主所说只是在B机器运行这个keystore或者是一些OCSP responder的服务的话，那么就该放到jre目录下去了。

3 楼 grandboy 2009-04-22  

是B机器上的OA应用里的CAS Agent（对CAS不熟悉，就先样叫吧。反正就是指CASFilter）要使用https来访问机器A的CAS Server, 这个时候，需要机器B信任机器A的那个证书。而在我们用浏览器访问https服务器时，如果那个证书不是正规的CA签发的，需要手动确认一下。在CASFilter里是程序来访问，而没有确认这个步骤。所以要把配置https的那个证书导入机器B的那个Tomcat使用的JRE的信任库里。

楼主，应该就是这样一个过程吧?

2 楼 linliangyi2007 2009-04-08  

transist 写道

SSL需要使用域名，在局域网的环境下，windows服务器可以使用主机名代替域名，问一下lz，如何配置linux主机名？

如何配置linux域名，请到linux板块询问吧！！

linux一直是俺景仰而无缘学习的系统啊

1 楼 transist 2009-04-08  

SSL需要使用域名，在局域网的环境下，windows服务器可以使用主机名代替域名，问一下lz，如何配置linux主机名？