SSO单点登录之一：创建证书

在单点登录认证系统中，证书是非常重要的一把钥匙，客户端与服务器之间的交互安全靠的就是证书。本文章介绍的是利用JAVA JDK中自带的keytool证书生成工具来生成证书。

如果以后真正在产品环境中使用肯定要去证书提供商去购买，证书认证一般都是由VeriSign认证，

中文官方网站：http://www.verisign.com/cn/

------------------------------------------------------------------------------------------------------------------

具体的证书操作步骤大致分为三步：生成证书、导出证书、为客户端的JVM导入证书

前提：计算机上要有JDK,并且在C盘新建文件夹keys

1）生成证书

命令：keytool -genkey -alias javacrazyer -keyalg RSA -keystore c:/keys/javacrazyerkey

 

命令解释：javacrazyer表示我给证书起的别名，以方便后面导出导入证书使用，真正生成的证书文件名是javacrazyerkey

 

要给力，先上图

 上面图片中的重点就是“您的名字和姓氏是什么？”这一项，我这里写的是javacrazyer.sso.com，实际上这个域名是我为了方便操作而写的，真实情况是不存在这个域名。我是在C:\Windows\System32\drivers\etc\hosts，添加内容： 127.0.0.1 sso.wsria.com

 

 

这样在访问sso.wsria.com的时候其实是访问的127.0.0.1也就是本机

 

 

注意：这一步中输入的域名不要是IP地址

 

 

2)导出证书

命令:keytool -export -file c:/keys/javacrazyer.crt -alias javacrazyer -keystore c:/keys/javacrazyerkey

命令解释：这里表示将第一步生成的证书文件导出成真正的证书以便以后为JVM导入证书使用

给力上图

这里输入的密码是第一步创建证书时设定的密码

这时我们看看c:/keys下的文件，又多了个crt文件，也就是真正导出的证书

 

3）为客户端JVM导入证书【这一点非常重要】

命令：keytool -import -keystore "C:\Program Files\Java\jdk1.6.0_20\jre\lib\security\cacerts" -file "c:/keys/javacrazyer.crt" -alias javacrazyer

命令解释：将第二步生成的真正的证书文件导入到JDK中的证书认证文件里，要记住之所以我说是客户端JVM，关键是将来如果你在MyEclipse中用到tomcat,而tomcat的JDK正好是这个"C:\Program Files\Java\jdk1.6.0_20",那么这样的话你访问一个部署在TOMCAT上的WEB程序就是访问客户端，所以为了防止将来不出差错，一个是关键选好这个JDK导入证书，另一个就是MyEclipse中tomcat的JDK要选择同一个JDK

这里输入的密码不是第一步中设定的密码，而是默认密码:changeit

 

再一次强调：之所以反复说本步骤重要是由于将来在访问SSO程序的WEB客户端时可能会出现这样一个错误

 

 

请求https错误： unable to find valid certification path to requested target

 

 

为了避免这个错误所以本步骤一定确保正确完成,确保完成的标准是在第4步

 

4)应用证书到Web服务器-Tomcat

这一步实际上就是说要开启tomcat的SSL（(Secure Sockets Layer 安全套接）,也即是开启https加密协议，为什么加密?安全呗，不然中国工商银行网站进行网上银行账户操作时用https干嘛

所以设计安全性能要求非常高的网站系统必须使用https加密协议

 

言归正传,准备好一个干净的tomcat，本教程使用的apache-tomcat-6.0.29

打开tomcat目录的conf/server.xml文件，开启83和87行的注释代码，并设置keystoreFile、keystorePass修改结果如下：

 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" 
               keystoreFile="c:/keys/javacrazyerkey"
               keystorePass="cheney"
    />

参数解释

keystoreFile：在第一步创建的key存放位置 

keystorePass：创建证书时的密码 

好了，到此Tomcat的SSL启用完成，现在你可以启动tomcat试一下了，例如本教程输入地址：https://javacrazyer.sso.com:8443/

打开的是：

 我们要做的就是点击“继续浏览此网站(不推荐)。 ”，现在进入Tomcat目录了吧，如果是那么你又向成功迈进了一步。

 

OK，下一篇文章要配置CAS服务器了

感谢咖啡兔的SSO文章

评论

2 楼 alleni123 2014-06-30  

谢谢分享， 太受益了

1 楼 aa00aa00 2013-06-19  

真是不错的文章