CAS Server部署指南

 

1      查看系统基本信息

1.1     确认发行版

登录到Linux服务器执行 lsb_release -a ，即可列出所有版本信息，例如：
[root@3.5.5Biz-46 ~]# lsb_release -a 
LSB Version: 1.3
Distributor ID: RedHatEnterpriseAS
Description: Red Hat Enterprise Linux AS release 4 (Nahant Update 1)
Release: 4
Codename: NahantUpdate1

1.2     生成证书

keytool -genkey -keyalg RSA -dname CN=10.160.5.242 -ext san=ip:10.160.5.242 -alias sso_dtdream -keysize 1024 -validity 730 -keypass changeit -keystore /root/keystore

注意密码用changeit

1.3     导出证书

keytool -export -alias sso_dtdream -keystore /root/keystore -file sso.crt

1.4     确认Java版本和证书库的位置

         如下图所示，确认java的版本是1.8，证书库的位置是/etc/pki/java/cacerts

1.5     确认tomcat已经正确安装

         如下图所示，说明tomcat已经正确安装，版本号为7.0，且已经正常启动和运行。

1.6     其他准备

需要如下文件：

cas.war: CAS服务的所有文件，用来部署用的归档包。

keystore: 用来存储证书私钥和公钥的证书库文件

sso.crt: 用于在客户端验证CAS Server的CA证书（此处指自签名证书）

2      服务器端部署

2.1     配置证书库

服务器端需要用证书库中的私钥来协商HTTPS通道，还要从证书库中取证书发送给客

户端进行验证。这里需要将用到的证书库放到合适的位置。

         以CentOS7为例，我们需要先把keystore文件拷贝到一个可以访问的目录，这里拷贝到/var/lib/tomcat目录下，为了保证有访问权限，将owner和group都修改为tomcat：

[root@iZ25gix959xZ ~]# cp keystore /var/lib/tomcat

[root@iZ25gix959xZ ~]# chown tomcat /var/lib/tomcat/keystore

[root@iZ25gix959xZ ~]# chgrp tomcat /var/lib/tomcat/keystore

2.2     修改配置文件    

以CentOS中配置tomcat为例，修改/etc/tomcat/server.xml文件：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"

keystoreFile="/var/lib/tomcat/keystore" keystorePass="changeit"

           truststoreFile="/usr/local/jdk1.8.0_45/jre/lib/security/cacerts"/>

其中keyStoreFile中制定先前配置的证书库文件即可。

2.3     启动服务

将cas.war拷贝到tomcat的WEB服务目录下，如/var/lib/tomcat/webapp

然后重启tomcat服务，以CentOS7为例：

 [root@iZ25gix959xZ ~]# service tomcat restart

 

3      客户端部署

3.1     导入Server端证书

keytool -import -keystore "%JAVA_HOME%"\jre\lib\security\cacerts -file D:\server\ftp\sso_dtdream.crt -alias sso

         上述命令将证书导入到Java的证书库中，该证书主要用于验证CAS Server端发过来的证书，用于给CAS Client用的。

         CAS Client主要包含在App Server中，本步骤只需要在APP server端来完成。

3.2     修改配置文件

APP server和CAS Server连接的时候会用HTTPS进行通信。以Tomcat为例，因为用来

验证CAS Server服务器证书的证书库即为%JAVA_HOME%下的cacerts，不需要再做额外的配置，会自动去cacerts去取证书验证CAS Server。

4      问题

4.1     没有找到算法的错误

显示信息如下：

Caused by: java.security.NoSuchAlgorithmException: Error constructing implementation

可以继续向下看调用栈，可以看出原因应该是读证书库的时候出错了。

   

解决方法：

将truststoreFile="/usr/local/jdk1.8.0_45/jre/lib/security/cacerts" 修改为

TruststoreFile="/etc/pki/java/cacerts"即可。推测原因是/usr/local/jdk1.8.0_45/jre/lib/security/cacerts这个目录，tomcat没有访问的权限。需要注意，/etc/pki/java/cacerts里面必须是一个可用的证书库，不能是空文件或者链接文件。

4.2     访问/login/cas的时候提示404错误

该错误一般出现在Spring4.0以前的版本，Spring4.0的版本上不会出现这个错误。

需要在

<bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">  中添加下面的属性：

<property name="filterProcessesUrl" value="/login/cas " />