ㄓㄤㄑㄧㄤ

tomcat sso 配置

源: http://www.oecp.cn/hi/single/blog/349 

为了实现单点登录,做了个CAS SSO单点登录实例,经过反复的琢磨和修改终于成功了,现将CAS SSO单点登录实例详细步骤共享出来,供大家参考。 

首先要先下载 
www.ja-sig.org/downloads/cas/cas-server-3.0.4.zip 
www.ja-sig.org/downloads/cas-clients/cas-client-2.0.11.zip 

CAS SSO单点登录实例详细步骤: 

1、用keytool生成证书: 
        keytool -genkey -alias tomcat -keyalg RSA -keystore c:/Tomcat5.5/mykey 
说明: 
    这里-alias tomcat 是表示生成的这个证书的别名叫tomcat,-keyalg RSA  指的是采用的RSA算法,-keystore c:/Tomcat5.5/mykey是指生成的证书存储的位置。回车后会提示你输入keystore password,这可以自己定(这里输入12456,下面配tomcat时要用的),然后是一些个人信息及组织信息,可以轻松搞定。 
注意:密码输入后,会让你输入其他信息,记得这里第一个姓名必须是服务器的域名 由于我是在本机所以是localhost 
这里要注意如果不这样写就会报如下异常: 
java.io.IOException: HTTPS hostname wrong:  should be <localhost> 

2、创建证书后,就导出证书,keytool -export -file c:\cas.cer -alias tomcat -keystore C:\Tomcat5.5\mykey(从C:\Tomcat5.5\mykey里取出证书入到C:\下,如果没有指定,就是在用下目录下C:\Documents and Settings\用户目录名\) 

3、server.xml中添加的配置信息: 
< Connector port="8443" 
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
               enableLookups="false" disableUploadTimeout="true" 
               acceptCount="100" debug="0" scheme="https" secure="true" 
               clientAuth="false" sslProtocol="TLS" keystoreFile="C:\tomcat\mykey(指生成的证书存储的位置)" keystorePass="123456"(上面你输入的那个密码) /> 

4、把上面那步的(csa.cer)这个证书导入java中的cacerts证书库里? 
    开始 >> 运行 >> 输入cmd 进入dos命令行 >> 
    再用cd进入到C:\Program Files\Java\jdk1.5.0_05\jre\lib\security这个目录下 
    敲入如下命令回车执行 
    keytool -import -alias cacerts -keystore cacerts -file C:\cas.cer -trustcacerts 
    此时命令行会提示你输入cacerts证书库的密码, 
    你敲入changeit就行了,这是java中cacerts证书库的默认密码, 
    你自已也可以修改的。 
如果报错信息是已经存在tomcat证书,就执行: 
  keytool –delete –keystore cacerts 
–file C:\cas.cer –alias -trustcacerts 

5、重启Tomcat后在地址栏输入:https://localhost:8888 如果配置正确就搞定了,浏览显示的时候提示安装证书(你就选择安装上面导出的那个证书,也可从IE--工具--Internet首选项--内容--证书--然后按提示导入即可)。 

 如果是IE的话,首先会弹出一个对话框,提示你证书不是由信任的机构颁发的。这个是很自然的,因为证书是自己生成的。 

  单击“查看证书”,单击“安装证书”,在向导种选择“将所有的证书放在下面存储区”,然后单击“浏览”,选择“受信任的根证书颁发机构”。单击确定安装证书。这样IE以后就会认为证书是由受信任的机构颁发的。 

  如果不想安装,也可以直接在对话框中单击“是” 


6 部署CAS应用 
  解压 cas-server-3.0.4.zip, 提取 \target\cas.war 文件,将 cas.war 文件复制到 TOMCAT 的安装路径 webapps 下,启动 TOMCAT ,检查 CAS 应用是否正常启动。 

7.客户端配置 
下载cas-client-2.0.11.zip 
把 java/lib/casclient.jar考到 你所发布的webapp的WEB-INF/lib下 
修改WEB-INF/web.xml 在里面添加过滤器 
    <filter> 
        <filter-name>CASFilter</filter-name> 
        <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class> 
        <init-param> 
           <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name> 
           <param-value>https://localhost:8443/cas/login</param-value> 
        </init-param> 
        <init-param> 
           <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name> 
           <param-value>https://localhost:8443/cas/proxyValidate</param-value> 
        </init-param> 
        <init-param> 
          <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name> 
          <param-value>localhost:8443</param-value> 
        </init-param> 
    </filter> 
    
    <filter-mapping> 
        <filter-name>CASFilter</filter-name> 
        <url-pattern>/*</url-pattern> 
    </filter-mapping> 

把里面的localhost换成域名 
8443换成你所使用的端口 


==================================== 
JDK中keytool常用命令 
-genkey      在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书 
-alias       产生别名 
-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中 
-keyalg      指定密钥的算法   
-validity    指定创建的证书有效期多少天 
-keysize     指定密钥长度 
-storepass   指定密钥库的密码 
-keypass     指定别名条目的密码 
-dname       指定证书拥有者信息 例如:  "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn" 
-list        显示密钥库中的证书信息      keytool -list -v -keystore sage -storepass .... 
-v           显示密钥库中的证书详细信息 
-export      将别名指定的证书导出到文件  keytool -export -alias caroot -file caroot.crt 
-file        参数指定导出到文件的文件名 
-delete      删除密钥库中某条目          keytool -delete -alias sage -keystore sage 
-keypasswd   修改密钥库中指定条目口令    keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage 
-import      将已签名数字证书导入密钥库  keytool -import -alias sage -keystore sagely -file sagely.crt 
             导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证链长度,并且把整个CA链全部打印出来。 

1.证书的显示 
-list 
[-v | -rfc] [-alias <alias>] 
[-keystore <keystore>] [-storepass <storepass>] 
[-storetype <storetype>] [-provider <provider_class_name>] 
例如:keytool -list -v -alias RapaServer -keystore cacerts -storepass 12345678 
keytool -list -v -keystore d2aapplet.keystore -storepass 12345678 -storetype IAIKKeystore 

2.将证书导出到证书文件 
例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer 
将把证书库 monitor.keystore 中的别名为 monitor 的证书导出到 monitor.cer 证书文件中,它包含证书主体的信息及证书的公钥,不包括私钥,可以公开。 
keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore 

3.将keystore导入证书中 
这里向Java默认的证书 cacerts导入Rapa.cert 
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts 

4.证书条目的删除 
keytool的命令行参数 -delete 可以删除密钥库中的条目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,这条命令将 d2aApplet.keystore 中的 RapaServer 这一条证书删除了。 

5.证书条目口令的修改 
使用 -keypasswd 参数,如:keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore,可以以交互的方式修改 d2aApplet.keystore证书库中的条目为 RapaServer 的证书。 
Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore这一行命令以非交互式的方式修改库中别名为 RapaServer 的证书的密码为新密码 654321,行中的 123456 是指该条证书的原密码, 888888 是指证书库的密码。 

CAS SSO单点登录实例就到这里了,希望对大家有帮助!

posted @ 2015-08-12 13:50  ㄓㄤㄑㄧㄤ  阅读(582)  评论(0编辑  收藏  举报
哈哈,页脚部分。