一、生成服務端密鑰文件
二、生成服務端證書
三、導入證書文件到cacerts密鑰庫文件
四、服務端Tomcat配置
五、生成客戶端密鑰庫文件
六、客戶端應用配置
七、補充說明
八、常見配置錯誤
配置說明
一、 生成服務端密鑰文件
登錄服務器打開一個CMD窗口(開始菜單 -> 運行輸入cmd後回車)並切換到tomcat安裝目錄下(如:c:\tomcat-cas),執行如下命令:
keytool -genkey -alias casserver -keypass demosso -keyalg RSA -keystore casserver.keystore -validity 365
執行後,可以看到tomcat安裝目錄下生成了一個casserver.keystore文件。如下圖:
說明:-alias指定別名爲casserver;-keyalg指定RSA算法;-keypass指定私鑰密碼;-keystore指定密鑰文件名稱爲casserver.keystore;-validity指定有效期爲365天。另外提示的輸入keystore密碼應與-keypass指定的相同;您的名字與姓氏是CAS服務器使用的域名(不能是IP,也不能是localhost),其它項隨意填。
注意:服務器上如果有多個JDK,請確認環境變量中的JDK路徑爲tomcat所使用的JDK,如果不在環境變量中,也可切換到指定JDK的bin目錄下執行命令;提示的輸入keystore密碼應與-keypass必須與指定的相同,否則後面tomcat啓動會報IO異常(Cannot recover key)。
二、 生成服務端證書
根據以上生成的服務端的密鑰文件可以導出服務端證書,執行以下命令:
keytool -export -alias casserver -storepass demosso -file casserver.cer -keystore casserver.keystore
執行後,可以看到tomcat安裝目錄下生成了一個casserver.cer文件。如下圖:
說明:-alias指定別名爲casserver;-storepass指定私鑰爲demosso;-file指定導出證書的文件名爲casserver.cer;-keystore指定之前生成的密鑰文件的文件名。
注意:-alias和-storepass必須爲生成casserver.keystore密鑰文件時所指定的別名和密碼,否則證書導出失敗,報如下錯誤:
三、 導入證書文件到cacerts 密鑰庫文件
導入以上生成的服務端的證書文件到一個cacerts密鑰庫文件,執行以下命令:
keytool -import -trustcacerts -alias casserver -storepass demosso -file casserver.cer –keystore cacerts
執行後,可以看到tomcat安裝目錄下生成了一個cacerts文件。如下圖:
四、 服務端Tomcat配置
在製作完成密鑰文件、證書文件、密鑰庫文件後即可進行服務端Tomcat的配置。打開$CATALINA_HOME/conf/server.xml文件,註釋掉如下代碼段:
<Connector port="80"protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/>
並取消註釋<Connectorport="8443" protocol="HTTP/1.1" SSLEnabled="true"…/>代碼段,修改後如下:
<Connector SSLEnabled="true" clientAuth="false"
keystoreFile="D:/Java/apache/apache-tomcat-cas/casserver.keystore"
keystorePass="demosso"
maxThreads="150"
port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
scheme="https" secure="true" sslProtocol="TLS"/>
<!--keystoreFile 生成的安全證書的位置 -->
<!--keystorePass設置安全證書的密碼-->
說明:port一般爲8443或443,最常用的是443端口(https默認端口),這樣https方式訪問的時候可以不加端口號(如:https://sso.demo.com/cas/login);keystoreFile爲tomcat目錄下的密鑰文件;keystorePass爲私鑰密碼;truststoreFile爲生成的信任文件,如果此處不指定則默認爲$JAVA_HOME/jre/lib/security/cacerts文件;其它屬性默認即可。
五、 生成客戶端密鑰庫文件
單向認證的客戶端配置只需生成客戶端信任文件caserts即可。首先將服務端生成的證書文件(之前生成的casserver.cer文件)複製到$JAVA_HOME/jre/lib/security下,然後打開CMD窗口切換到$JAVA_HOME/jre/lib/security下並執行命令:
keytool -import -trustcacerts -alias casclient -storepass changeit -file casserver.cer -keystore cacerts
執行後,可以看到$JAVA_HOME/jre/lib/security目錄下生成了一個cacerts文件。如下圖:
備註:JDK JRE security storepass 默認密碼 changeit
六、 客戶端應用配置
1、應用程序WEB-INF\lib目錄下加入cas-client-core-3.2.1.jar包並添加到buildpath中;
2、編輯應用程序中的web.xml文件在最末端加入如下內容:
<!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 該過濾器用於實現單點登出功能,可選配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責用戶的認證工作,必須啓用它 -->
<filter>
<filter-name>CAS Authentication Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://sso.demo.com/cas/login</param-value>
</init-param>
<init-param>
<param-name>renew</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>gateway</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8082</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Authentication Filter</filter-name>
<url-pattern>/login-page.html</url-pattern>
</filter-mapping>
<!-- 該過濾器負責對Ticket的校驗工作,必須啓用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://sso.demo.com/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8082</param-value>
</init-param>
<init-param>
<param-name>useSession</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>redirectAfterValidation</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責實現HttpServletRequest請求的包裹, 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名,可選配置。 -->
<filter>
<filter-name>CAS HttpServletRequest WrapperFilter</filter-name>
<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest WrapperFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 自定義的filter,在用戶登錄成功之後進行處理 -->
<filter>
<filter-name>AuthenticationFilter</filter-name>
<filter-class>com.filter.AuthenticationFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>AuthenticationFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.jasig.cas.client.validation.Assertion;
public class AuthenticationFilter implements Filter {
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,
ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
// _const_cas_assertion_是CAS中存放登錄用戶名的session標誌
Object object = httpRequest.getSession().getAttribute("_const_cas_assertion_");
if (object != null) {
Assertion assertion = (Assertion) object;
String loginName = assertion.getPrincipal().getName();
User user = session 中獲取user對象
// 第一次登錄系統
if (user == null) {
自行實現獲User對象的方法
//User _user = userService.getUserByName(loginName);
// 保存用戶信息到Session
//setCurrentUser(httpRequest, _user);
System.out.println("current user :" + _user);
}
}
filterChain.doFilter(request, response);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
}
}
說明:LoginFilter內容一般爲獲取用戶基本信息、菜單信息然後保存到session中;sso.demo.com爲CAS服務器的域名,也就是之前使用keytool –genkey命令指定的“名字與姓氏”。若未申請域名,也可以本地模擬實現域名解析,編輯C:\WINDOWS\system32\drivers\etc\hosts文件添加:CAS服務器IP sso.demo.com 即可),如下圖:
注意:serverName屬性值爲客戶端實際IP地址,可以爲域名但絕不能爲localhost!
1、 客戶端程序單點退出功能,需要訪問https://sso.demo.com/cas/logout,下面提供了一個示例,當點擊退出按鈕(或超鏈接)時,調用javascript方法ssoLogout()。ssoLogout()定義如下(可根據實際需求自行修改):
- <scripttype="text/javascript">
- function ssoLogout(){
- if(confirm('確定要退出系統嗎?')){
- top.location.href ='https://sso.demo.com/cas/logout?service='+location.protocol+'//'+location.host+location.pathname;
- }
- }
- </script>
七、 補充說明
上面講的是CAS單獨部署的情況,也就是與其它應用分開部署。但有些情況是CAS與其它應用部署到同一臺機器同一個Tomcat(關鍵問題是使用同一個JDK),這種情況下,服務端Tomcat配置中的<Connector truststoreFile屬性就要指定爲jdk下的cacerts文件路徑或者直接註釋掉(默認會找$JAVAHOME\jre\lib\security\下的cacerts文件)。這樣服務端和客戶端是同一個,也就不必再根據服務端證書生成客戶端密鑰庫文件了。
八、 常見配置錯誤
1、 CAS服務端Tomcat啓動後報錯:Error initializing endpoint java.io.IOException: Cannot recover key
是由於生成服務端密鑰文件時所指定的keypass與提示輸入的“keystore密碼”不一致。
2、 javax.servlet.ServletException: org.jasig.cas.client.validation.TicketValidationException:紲ㄦ牴'ST-2-hozuLnLtIVGeaD5yju0Y-cas'涓嶇鍚堢洰鏍囨湇鍔?
一般是由於客戶端應用web.xml中配置的serverName屬性值爲localhost或CAS服務端cas-servlet.xml配置文件中的<bean logoutController/>沒加p:followServiceRedirects="true"退出後重定向屬性。
3、 SSLHandshakeException: java.security.cert.CertificateException: Nosubject alternative names present
是由於客戶端應用web.xml配置中的casServerLoginUrl和casServerUrlPrefix兩個URL屬性的域名與證書中定義的不一致。
注意:
1、keytool 生成安全證書不能使用IP地址 一律使用域名
2、務必確認客戶端程序使用JDK 路徑正確 分清楚JDK、JRE