单点登录1:安装CAS服务器
来源:互联网 发布:编程语言的算法 编辑:程序博客网 时间:2024/05/16 13:39
1 CAS 简介
CAS 全称为 Central Authentication Service(中央认证服务),它是耶鲁大学发起的一个开源项目,为 Web 应用系统提供一种可靠的单点登录方式,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目,它具有以下特点:
CAS 是一款开源的企业级单点登录解决方案,为应用系统提供中央认证服务。
CAS 服务器是独立部署的 Web 应用,可运行在主流的 Web 容器上,例如:Tomcat、Jetty 等。
CAS 客户端支持许多不同语言开发的应用系统,包括:Java、.Net、PHP、Apache、Perl、Ruby 等。
2 下载 CAS 服务器
可以从 CAS 官网:http://www.jasig.org/cas 下载,这可能需要翻墙,如果你不太愿意翻墙的话,可以访问这个地址:http://downloads.jasig.org/cas/,同样可以下载。
下载 CAS 服务器最新版:cas-server-3.5.2-release.zip
解压程序包
复制 cas-server-3.5.2/modules/cas-server-webapp-3.5.2.war 到 Tomcat 的 webapps 目录下,并重命名为 ROOT.war。
在启动 Tomcat 之前,还需要做两件事情:
创建 CAS 密钥库
使 Tomcat 支持 HTTPS
3 创建密钥库
使用 JDK 的 keytool 命令生成密钥库(keystore),其实就是一份 keystore 文件,keystore 必须通过密码才能访问。
keystore 里包含了多个密钥对(keypair),每个 keypair 都有一个别名(alias),alias 必须保证唯一性,而且都有一个密码,有此可知,keystore 与 keypair 都有自己的密码。
JDK 也有自己的 keystore,位于 %JAVA_HOME%\jre\lib\security\cacerts,其密码就是 changeit,当然也可以通过 keytool 命令来修改。
我们首先生成 keypair 及其存放 keypair 的 keystore,然后从 keystore 里导出证书,最后将证书导入 JDK 的 keystore 里,Tomcat 在运行时就会自动读取 JDK 的 keystore,以确保所部署的应用可以享受 HTTPS 协议(SSL 通道)带来的安全性。
3.1 生成 keypair
使用以下命令生成密钥对:
keytool -genkeypair -alias cas -keyalg RSA -storepass changeit
默认情况下,生成的 keystore 就是用户目录下的 .keystore 文件。对于 Win8 而言,默认的用户目录为 C:\Users\用户名。
以上命令执行完毕后,会在用户目录下生成一份 .keystore 文件(如果以前不存在该文件的话),其中包括一个 keypair。
注意:
为了简化操作,建议 keystore 与 keypair 的密码相同,且均为 changeit。
提示“您的名字与姓氏是什么?”,这里需要输入一个域名,例如:www.xxx.com,本例中输入 cas 需要在 hosts 文件中做如下映射:
127.0.0.1 cas
还有几条常用的 keytool 命令:
查看 keypair:
keytool -list -storepass changeit
删除 keypair:
keytool -delete -alias <别名> -storepass changeit
3.2 从 keystore 中导出证书
使用以下命令导出证书:
keytool -exportcert -alias cas -file cas.crt -storepass changeit
生成的证书文件为 cas.crt,位于运行该命令所在的当前目录下。
可双击该证书文件,将该证书安装到“受信任的根证书颁发机构”中,这样在浏览器中使用 HTTPS 协议访问时才不会出现一个红色的叉叉。
3.3 导入证书到 JVM 中
使用以下命令导入证书到 JVM 的 keystore 中:
keytool -importcert -alias cas -file cas.crt -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit -noprompt
默认情况下,Tomcat 将读取 JVM 中的密钥库,而不是用户目录下的 .keystore 密钥库,当然也可以配置 Tomcat 使其读取指定的密钥库。
注意:
在执行以上命令前,必须需要保证 cacerts 文件对当前用户有写权限。
JDK 的 keystore 的密码必须为 changeit,这样 Tomcat 无需做任何配置就能访问。
4 使 Tomcat 支持 HTTPS
打开 Tomcat 的 conf/server.xml 文件。
修改以下配置:
...
<
Listener
className
=
"org.apache.catalina.core.AprLifecycleListener"
SSLEngine
=
"off"
/>
...
将以上配置中的 SSLEngine 改为 off,默认为 on。
...
<!--<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="18443" />-->
...
<
Connector
port
=
"8443"
protocol
=
"HTTP/1.1"
SSLEnabled
=
"true"
maxThreads
=
"150"
scheme
=
"https"
secure
=
"true"
clientAuth
=
"false"
sslProtocol
=
"TLS"
/>
...
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="18443" />-->
...
禁用 HTTP 8080 端口,开启 HTTPS 8443 端口,禁用 AJP 8009 端口,以确保只能通过 HTTPS 协议访问 CAS 服务器。
若将 HTTPS 端口号配置为 443,则可以使用无端口方式发送 HTTPS 请求。
5 运行 CAS 服务器
启动部署了 CAS 服务器的 Tomcat,并使用以下地址访问 CAS 登录页面:
https://cas:8443/login
一定要使用域名 cas 来访问,实际上 cas 指向了 127.0.0.1(需要在本机的 hosts 中进行配置)。
CAS 默认采用了最简单的认证,即用户名与密码必须有,但两者必须相同,也可对 CAS 做个性化认证配置。
可以使用如下 URL 注销 CAS:
https://cas:8443/logout
- 单点登录1:安装CAS服务器
- 搭建CAS单点登录服务器
- 搭建CAS单点登录服务器
- 单点登录--CAS服务器配置
- 搭建CAS单点登录服务器
- cas单点登录服务器配置
- CAS单点登录服务器的配置
- CAS单点登录(SSO)服务器配置
- CAS单点登录(SSO)服务器配置
- Cas单点登录(1)原理
- cas 单点登录(SSO)之一: jasig cas-server 安装
- CAS单点登录项目实战(1)
- CAS 单点登录实战 (1) 介绍
- CAS 实现单点登录oos(1)
- SSO之CAS单点登录1
- cas单点登录1-源码导入eclipse
- cas实现单点登录
- CAS 单点登录原理
- Maven+Jetty运行项目无法热修改html处理
- ListView中一键获取所有EditText的值
- mConUserName为空的问题,值得学习哦
- UItableView的自适应
- C++ CCF真题----消除类游戏
- 单点登录1:安装CAS服务器
- window下安装es
- 华为oj 简单密码破解
- iOS开发 - 统计图的绘制
- eclipse连接mysql ping失败
- Drawable setBounds方法
- openssl pfx文件转cer文件
- Android studio的小小知识点--修改字体大小
- JVM 垃圾回收器工作原理及使用实例介绍