一、Tomcat 的 SSL的配置
1.生成server key
以命令方式換到目錄%TOMCAT_HOME%,在command命令行輸入如下命令:
Keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 3600
用戶名輸入域名�����,如localhost(開發或測試用)或hostname.domainname(用戶擁有的域名),其它全部以Enter跳過�����,最后確認,此時會在%Tomcat_home%下生成server.keystore文件��。
注:參數-validity指證書的有效期(天),缺省有效期很短�����,只有90天。
2.將證書導入的JDK的證書信任庫中
這步對于Tomcat的SSL配置不是必須,但對于CAS SSO是必須的�����,否則會出現如下錯誤:
Edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate PRoxyTicketValidate.
導入過程分2步���,第一步是導出證書,第二步是導入到證書信任庫��,命令如下:
Keytool -export -trustcacerts -alias tomcat_key -file server.cer -keystore server.keystore -storepass changeit
Keytool -import -trustcacerts -alias tomcat_key -file server.cer -keystore C:/”Program Files”/java/jdk1.7.0_01/jre/lib/security/cacerts -storepass changeit
如果有提示�����,輸入Y就可以了����。
其它有用keytool命令(列出信任證書庫中所有已有證書�����,刪除庫中某個證書):
keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts >t.txt
keytool -delete -trustcacerts -alias tomcat_key -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
3.配置Tomcat
在Tomcat的server.xml配置文件中加入:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/Program Files/Apache Software Foundation/Tomcat 7.0/server.keystore"
truststoreFile="C:/Program Files/Java/jdk1.7.0_01/jre/lib/security/cacerts"
keystorePass="changeit"/>
二�����、部署CAS Server到Tomcat
本文使用的CAS Server版本是3.5.2,下載地址:https://www.apereo.org/cas/download。部署CAS Server的步驟如下:
1. 到CAS網站下載CAS Server。
2. 解壓壓縮文件�����,在解壓后的文件夾內找到/modules/ cas-server-webapp-3.5.2.war����,將cas-server-webapp-3.5.2.war復制到%Tomcat_Home%/webapps下并改名為cas.war.
3. 啟動Tomcat,測試https://localhost:8443/cas/login看是否訪問正常���。
4. 修改配置文件deployerConfigContext.xml����。(可選)
CAS Server默認登陸驗證方式是SimpleTestUsernamePasswordAuthenticationHandler���,也就是用戶名和密碼一致都可以登陸�;但我們通常需要從數據庫中取出用戶名和密碼進行驗證����,所以我們需要修改deployerConfigContext.xml�,配置我們自己的服務認證方式:
(1) 在deployerConfigContext.xml添加數據源dataSource和密碼加密器passWordEncoder配置���。
<!-- 數據庫連接信息 -->
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName"><value>com.MySQL.jdbc.Driver</value></property>
<property name="url"><value>jdbc:mysql://192.168.0.210:3306/cas_demo</value></property>
<property name="username"><value>root</value></property>
<property name="password"><value>root123</value></property>
</bean>
<!-- 密碼加密器 -->
<bean id="md5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">
<constructor-arg index="0"><value>MD5</value></constructor-arg>
</bean>
(2) 注釋掉SimpleTestUsernamePasswordAuthenticationHandler�,添加QueryDatabaseAuthenticationHandler:
<!-- CAS Server從數據庫中獲取用戶信息進行認證 -->
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
<property name="dataSource" ref="dataSource"></property>
<property name="sql" value="select password from sys_user_info where username=?"></property>
<property name="passwordEncoder" ref="MD5PasswordEncoder"></property>
</bean>
(3) 添加cas-server-support-jdbc-3.5.2.jar、mysql-connector-java-5.1.25.jar�����、 commons-pool-1.3.jar、commons-dbcp-1.2.2.jar等jar包到WEB-INF/lib�����。
(4) 啟動tomcat,測試https://localhost:8443/cas/login看是否訪問正常�����。三、部署CAS Client到應用
本文使用的CAS Client版本為3.3.3�����,下載地址:http://downloads.jasig.org/cas-clients/ ���。
部署CAS Client的步驟如下:
1. 如果是Maven項目的話添加cas client的依賴:<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
否則,下載cas-client-core-3.3.3.jar���,并將其放入項目的WEB-INF/lib。
2. 配置web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
id="WebApp_ID" version="3.0">
<display-name>CAS CLIENT DEMO</display-name>
<!-- 用于單點退出��,該過濾器用于實現單點登出功能,可選配置 -->
<listener>
<listener-class>
org.jasig.cas.client.session.SingleSignOutHttpSessionListener
</listener-class>
</listener>
<!-- 該過濾器用于實現單點登出功能��,可選配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責用戶的認證工作�,必須啟用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://localhost:8443/cas/login</param-value>
</init-param>
<!-- 這里的serverName是服務端的ip -->
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責對Ticket的校驗工作�����,必須啟用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://localhost:8443/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責實現HttpServletRequest請求的包裹���, 比如允許開發者通過
HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名����,可選配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責把ticket驗證后產生的Assertion放入ThreadLocal中�,以便 不能訪問web層的資源使用�。該過濾器可以使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名���。比如AssertionHolder.getAssertion().getPrincipal().getName()�����。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 單點登錄結束 ======================== -->
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
</web-app>
3. 打包部署CAS Client。
