`
linliangyi2007
  • 浏览: 1013193 次
  • 性别: Icon_minigender_1
  • 来自: 福州
社区版块
存档分类
最新评论

再谈CAS的HTTPS证书问题

阅读更多
在我们学习CAS的部署时候,常常要涉及到HTTPS的证书发布问题。由于在实验环境中,CAS和应用服务常常是共用一台PC机,它们跑在相同的JRE环境和Tomcat服务器上,就造成了很多学习CAS的兄弟搞不清证书的实际用途,一旦将CAS和应用分布部署在不同的机器上时,就晕了!

这里我们假设如下实验环境来说明相应的部署

机器A: 部署CAS服务
机器B: 部署OA应用
机器C: 用户浏览器端

1.由机器A上生成.keystore的证书文件,证书颁发者是机器A的完全域名
2.机器A上用于部署CAS的Tomcat的server.xml文件中定义HTTPS的配置,指向.keystore文件证书

3.从.keystore中导出的凭证文件要copy到机器B上,并导入机器B的JRE环境的证书库中
4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上,而不是JDK,这点常有人搞错。

更多证书生成导出细节参考 http://linliangyi2007.iteye.com/blog/165304
更多CAS部署的细节参考 http://linliangyi2007.iteye.com/blog/165307
分享到:
评论
5 楼 yuanqixun 2010-02-21  
请问楼主,如何避免确认数字证书的过程?老是让用户去确认,感觉体验不是很好哦。

linliangyi2007 写道
在我们学习CAS的部署时候,常常要涉及到HTTPS的证书发布问题。由于在实验环境中,CAS和应用服务常常是共用一台PC机,它们跑在相同的JRE环境和Tomcat服务器上,就造成了很多学习CAS的兄弟搞不清证书的实际用途,一旦将CAS和应用分布部署在不同的机器上时,就晕了!

这里我们假设如下实验环境来说明相应的部署

机器A: 部署CAS服务
机器B: 部署OA应用
机器C: 用户浏览器端

1.由机器A上生成.keystore的证书文件,证书颁发者是机器A的完全域名
2.机器A上用于部署CAS的Tomcat的server.xml文件中定义HTTPS的配置,指向.keystore文件证书

3.从.keystore中导出的凭证文件要copy到机器B上,并导入机器B的JRE环境的证书库中
4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上,而不是JDK,这点常有人搞错。

更多证书生成导出细节参考 http://linliangyi2007.iteye.com/blog/165304
更多CAS部署的细节参考 http://linliangyi2007.iteye.com/blog/165307

4 楼 danni505 2009-05-08  
4.机器B上部署OA的Tomcat必须指定运行在导入凭证JRE环境上,而不是JDK,这点常有人搞错。
看到这里我也想说几句,比如你要使用长密码加密,那么就会要使用JCE去替换掉我们机器上的$JAVA_HOME下的lib/security的内容,那么你仔细点就会发现在jdk和jre中都有这个目录,但他们的作用是不一样的,如果你想楼主所说只是在B机器运行这个keystore或者是一些OCSP responder的服务的话,那么就该放到jre目录下去了。
3 楼 grandboy 2009-04-22  
是B机器上的OA应用里的CAS Agent(对CAS不熟悉,就先样叫吧。反正就是指CASFilter)要使用https来访问机器A的CAS Server, 这个时候,需要机器B信任机器A的那个证书。而在我们用浏览器访问https服务器时,如果那个证书不是正规的CA签发的,需要手动确认一下。在CASFilter里是程序来访问,而没有确认这个步骤。所以要把配置https的那个证书导入机器B的那个Tomcat使用的JRE的信任库里。

楼主,应该就是这样一个过程吧?
2 楼 linliangyi2007 2009-04-08  
transist 写道
SSL需要使用域名,在局域网的环境下,windows服务器可以使用主机名代替域名,问一下lz,如何配置linux主机名?


如何配置linux域名,请到linux板块询问吧!!

linux一直是俺景仰而无缘学习的系统啊
1 楼 transist 2009-04-08  
SSL需要使用域名,在局域网的环境下,windows服务器可以使用主机名代替域名,问一下lz,如何配置linux主机名?

相关推荐

    CAS系统使用证书和命令

    在CAS系统中,证书和密钥是安全通信的重要组成部分,它们用于加密和验证服务器与客户端之间的交互数据,确保数据传输的安全性。本文将详细介绍CAS系统中生成、导入和导出证书的相关命令。 一、生成证书和密钥对 在...

    cas有无证书单点登录

    ### CAS有无证书单点登录知识点详解 #### 一、CAS简介及应用场景 CAS (Central Authentication Service) 是一种开放源代码的单点登录协议和服务,主要用于简化用户在多个应用程序之间的身份验证过程。CAS的设计...

    Cas使用StartSSL证书实现统一认证服务.pdf

    然后编辑/etc/httpd/conf.d/ssl.conf文件,配置SSL引擎以及代理转发到CAS应用的设置,并将相应的证书文件路径指向所拷贝的文件。 具体来说,需要修改指令块,启用SSLEngine,SSLProxyEngine,并设置代理转发指令...

    CAS下ABA问题及优化方案

    CAS下ABA问题及优化方案 CAS(Compare And Set)是一种常见的乐观锁机制,用于降低读写锁冲突,保证数据一致性。但是在极端情况下,CAS 乐观锁机制可能会出现 ABA 问题。本文将从ABA问题的定义、出现原因、优化方案...

    CAS 取消Https协议 附

    【标题】:“CAS 取消Https协议 附” 在IT领域,CAS(Central Authentication Service)是一种广泛使用的单点登录(Single Sign-On, SSO)框架,它为各种应用系统提供了安全的身份验证服务。当我们提到“取消HTTPS...

    cas-server-webapp-4.0.0.war--cas server去掉https验证

    cas-server-webapp-4.0.0.war--cas server去掉https验证.下载后直接部署tomcat即可,建议下载后将名称改为cas.war

    cas4.2.7 实现其他系统和cas互相认证互信

    4. **配置客户端认证**:在外部系统中,配置客户端以信任CAS服务器的证书,并设置正确的认证参数,如服务URL、CAS服务器URL等。 5. **自定义认证处理**:如果需要根据特定需求进行认证逻辑调整,可以自定义认证...

    CAS连接Oracle并且去掉Https,应用Http

    如果遇到问题,查看CAS日志以获取错误信息,进行相应的调整。 7. **安全注意事项**: 尽管HTTP简化了配置,但也会暴露出潜在的安全风险,因为所有数据传输都将明文进行。在生产环境中,强烈建议使用HTTPS以确保...

    cas 自签名证书制作及应用 操作说明及相关配置

    [alt_names] DNS.1 = .cddx.lan 不同域名公用同一个证书 4、文档中的文件路径,为本人电脑路径,请根据具体情况进行修改 5、分三步进行操作:一、创建证书;二重启tomcat;三、管理员导入生成的证书到keystore; 6、...

    CAS的ASP.NET客户端配置及验证

    CAS(Central Authentication ...在实际开发中,可能还需要考虑其他因素,如SSL证书、自定义CAS服务器的配置、以及在多应用环境下的SSO集成。熟悉这些配置和流程,将有助于构建安全、高效的CAS集成ASP.NET应用程序。

    cas 单点登录修改https为http

    cas 单点登录 修改https访问协议为http

    cas-shiro-https单点登录实现

    3. 配置HTTPS:为服务器申请并配置SSL证书,确保整个SSO过程在安全的HTTPS环境下进行。 4. 测试与调试:验证用户能否正常登录、注销,以及在不同应用间切换是否顺畅。 在提供的压缩包文件`sso-shiro-cas`中,可能...

    无https验证的CAS单点登录

    **无HTTPS验证的CAS单点登录详解** CAS(Central Authentication Service,中央认证服务)是一种广泛应用于Web应用程序的身份验证框架,旨在提供一种集中化的身份验证机制,使得用户只需一次登录即可访问多个相互...

    CAS单点登录(SSO)服务端自定义认证+CAS客户端配置+CAS完整使用文档+CAS4.2.7 cas-serv服务端源码 cas-client客户端源码

    总的来说,这个压缩包提供了一套完整的CAS实施教程,从源码到配置,再到实际应用,对于想要理解和使用CAS的开发者来说是一份宝贵的资源。通过学习和实践,你可以掌握CAS的核心概念,实现自定义认证策略,以及优化...

    单点登录CAS应用代码(HTTPS)

    3. **配置HTTPS**:在Tomcat的conf/server.xml文件中,修改HTTP Connector为HTTPS Connector,设置KeystoreFile和KeystorePass,以使用SSL证书进行安全连接。 4. **CAS配置**:编辑解压后的CAS服务器目录中的cas....

    cas集成AD域

    同时,定期更新AD和CAS服务器的证书,以保持系统的安全性。 通过以上步骤,我们可以将CAS与AD域有效地结合在一起,提供便捷且安全的单点登录体验。文档“cas集成验证AD中用户名密码实现一键登录.docx”可能包含了...

    cas 普通方式和SpringBoot方式客户端 普通方式服务端

    总结来说,这个压缩包包含了一个CAS服务器的实现、两个可能的客户端实现,以及证书生成的命令,提供了一整套实现CAS SSO的环境。在实际部署时,你需要根据自己的需求配置证书、CAS服务器和客户端,确保安全、有效地...

    phpCAS源码以及调用示例(redis管理session,解决无法logout的问题)

    本文将深入探讨phpCAS的源码和调用示例,特别是在使用Redis管理session以及解决无法正常logout问题方面的应用。 首先,理解phpCAS的工作原理至关重要。phpCAS是一个基于PHP的客户端库,它遵循CAS协议与CAS服务器...

    cas使用配置.txt

    - 将生成的服务器证书导入JDK的信任库,以确保CAS客户端能够信任CAS服务器的SSL证书。 - 执行命令:`keytool-import -trustcacerts -alias tomcat -file server.cer -keystore %JAVA_HOME%/jre/lib/security/...

Global site tag (gtag.js) - Google Analytics