CAS-JDK证书生成操作.doc

分类：Java/zjc_8886/blog/static/24081752011124105333308//tianlincao/article/details/5376208/maggiehexu/article/details/6129653/security/archive/2006/09/05/67865.html/security/archive/2010/06/26/67944.htmlsso(Single Sign On)即单点登录。一次登陆，走遍天下。呵呵！tomcat6中配置cas，cas是耶鲁大学开发的一个sso组件。可以很容易整合到系统中。cas-server-3.0.5.zip 下载地址/downloads/cas/cas-server-3.0.5.zipcas-client-java-2.1.1.zip 下载地址/downloads/cas-clients/cas-client-java-2.1.1.zipcas-server-release 下载地址/downloads/cas/cas-server-3.1.1-release.zip使用tomcat版本为6.0.29.主机名称和ip映射修改，找到C:/WINDOWS/SYSTEM32/DRIVERS/ECT/HOST 文件，增加IP（主机IP） hostname（主机名）如：02 zjc1.部署CAS3服务器端所需得ssl环境生成在命令行中进入jdk下的bin目录中：如：以下方式相同。预备生成文件: cacerts server.keystore client.keystore server.cer client.cer五个文件。生成服务器端库文件 (生成的时候，第一项name一定要写你的完整计算机名称，我的是zjc)keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore导出服务器端证书keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore生成客户端库文件keytool -genkey -alias tomcat-client -keyalg RSA -keypass changeit -storepass changeit -keystore client.keystore导出客户端证书keytool -export -alias tomcat-client -storepass changeit -file client.cer -keystore client.keystore导入服务器端证书keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit导入客户端证书keytool -import -trustcacerts -alias client -file client.cer -keystore cacerts -storepass changeit4将如上生成得cacerts server.keystore client.keystore server.cer client.cer文件分别拷贝到cas服务器以及应用客户端TOMCAT_HOME主目录以及JAVA_HOEMjrelibsecurity文件下(每个子系统的tomcat也要拷贝进去）。将cas-server-3.0.5.zip解压,把target目录下的cas.war包拷贝至$tomcat_home$/webapps文件夹下打开tomcat下面的conf文件下的server.xml文件。找到8443这个端口号，它是被注释掉了。在它下面添加： port=8443 minSpareThreads=5 maxSpareThreads=75 enableLookups=true disableUploadTimeout=true acceptCount=100 maxThreads=200 scheme=https secure=true SSLEnabled=true clientAuth=false sslProtocol=TLS keystoreFile=D:/tools/apache-tomcat-6.0.10/server.keystore keystorePass=changeit/ 注意：keystorePass是你要写的密码。在上面的命令中一定写好了。打开浏览器https:/localhost:8443/cas看看是否已经显示登录页面。配置子系统。就是说当我们要访问子系统时，如果没有登录的话，直接跳转到cas的登录页面中。登录成功后，才可以查看子系统。只需要登录一次。其他就不需要登录了，如果就没有关闭浏览器的话。在tomcat的webapp中有一个examples的工程。我们拿它做实验。在examples工程的WEBINF下面的web.xml中。找到第一个filter，在它之前加入：CASFilteredu.yale.its.tp.cas.client.filter.CASFilteredu.yale.its.tp.cas.client.filter.loginUrlhttps:/zjc:8443/cas/loginedu.yale.its.tp.cas.client.filter.validateUrlhttps:/zjc:8443/cas/proxyValidateedu.yale.its.tp.cas.client.filter.serverNamezjc:8080CASFilter/*如果你没有配置ip映射的话，在本地测试，你可以把上面zjc改成localhost。保存好web.xml文件。我们试图去访问examples工程。看看效果如何。id和password只要相同就可以登录了。但是这种只是做个测试而已。我们需要连接数据库，做登录验证。打开MySql数据库，我的数据库用户名及密码是root/root。建立新的数据库test建立用户表users，有两个字段username与password，主键为username插入一条记录用户名密码为：1/1.打开Tomcat下的cas项目，打开deployerConfigContext.xml文件找到这一行，然后注销掉，紧跟着其下面，添加这样一段代码用来指定查询的数据源，并指定查询登录用户的语句然后，添加一个新bean，上面我们指定的数据源为dataSource，现在就来定义这个数据源com.mysql.jdbc.Driverjdbc:mysql:/localhost:3306/testrootrootdeployerConfigContext.xml文件的root标签是所以数据源的这个新的应该写在下，放到开头beans下面就行了。请认真思考这个部分，不然会报错。如此，数据库也配置完成了。依赖包都需要添加到tomcat的cas项目下，包括以下包：cas-server-support-jdbc-3.1.1.jar，在cas-server-release.zip下的module文件夹里可以找到mysql-connector-java-5.1.6-bin.jar，Mysql的驱动包DataStore需要三个包commons-collections-3.2.jar,commons-dbcp-1.2.1.jar,commons-pool-1.3.jar这三个包可以在Apache网站下载，也可以在中去搜索下载包全部导入后即完成基本配置http:/localhost:8080看是否出现三角猫然后http:/localhost:8080/examples查看是否进入登录页面。一切顺利则说明，当进入这两个子系统时，都会检查是否有cookies票，如果没有即表示没有登录，即进入登录页面。接下来登录，mysql数据库用户表users里的记录是1/1，输入用户名密码登录.新增一个子系统只需要两步将子系统的web.xml配置上我们前面配置过的内容将casclient.jar和commons-logging-1.1.1.jar包放入子系统的lib文件夹下即可。遇到的问题：1java.security.cert.CertificateException: No name matchingmaggie found是由于生成证书时，使用的是IP或别的什么，反正不是机器名。解决办法：好吧，用命令删除证书，从新做吧。命令为：keytool -delete -E:/server.keystore(注意，此处删除成功，但不会删除磁盘上的文件，保险点，手动删了吧)2No subject alternative names present是由于生成证书时，使用的是IP或别的什么，反正不是机器名。解决办法同3.13unable to find valid certification path to requested target由于jre中找不到证书（这个问题折腾我N久！）发现eclipse中跑正常，单独启动tomcat就会报错。后来仔细一查才发现tomcat使用的jre和eclipse中的不一样。查找tomcat使用的jre方法如下：打开tomcat/bin/tomcat6w.e