CAS 统一认证服务器及应用

最新推荐文章于 2023-01-29 21:32:17 发布
最新推荐文章于 2023-01-29 21:32:17 发布
阅读量481 收藏
点赞数
分类专栏: cas

预备知识:


详细请见:Tomcat的帮助文档,:https://localhost:8080/tomcat-docs/ssl-howto.html  。


1、用keytool生成证书:


        keytool -genkey -alias tomcat -keyalg RSA -keystore c:/tomcat/mykey


说明:


    这里-alias tomcat 是表示生成的这个证书的别名叫tomcat,-keyalg RSA  指的是采用的RSA算法,-keystore c:/tomcat/mykey 是指生成的证书存储的位置。回车后会提示你输入keystore password,这可以自己定,然后是一些个人信息及组织信息,可以轻松搞定。


2、server.xml中添加的配置信息:


< Connector port="8888"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="C:\tomcat\mykey" keystorePass="123456" />


说明:


   Tomcat的用的端口是8888,后面keystoreFile是说明你的证书的位置,keystorePass是指密码。


3、重启Tomcat后在地址栏输入:https://localhost:8888 就搞定了~~~~~~~~


浏览显示的时候提示安装证书。


====================================

JDK中keytool常用命令


-genkey      在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书
-alias       产生别名
-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中
-keyalg      指定密钥的算法  
-validity    指定创建的证书有效期多少天
-keysize     指定密钥长度
-storepass   指定密钥库的密码
-keypass     指定别名条目的密码
-dname       指定证书拥有者信息 例如:  "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn"
-list        显示密钥库中的证书信息      keytool -list -v -keystore sage -storepass ....
-v           显示密钥库中的证书详细信息
-export      将别名指定的证书导出到文件  keytool -export -alias caroot -file caroot.crt
-file        参数指定导出到文件的文件名
-delete      删除密钥库中某条目          keytool -delete -alias sage -keystore sage
-keypasswd   修改密钥库中指定条目口令    keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage
-import      将已签名数字证书导入密钥库  keytool -import -alias sage -keystore sagely -file sagely.crt
             导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证链长度,并且把整个CA链全部打印出来。
 

1.证书的显示


-list
[-v | -rfc] [-alias <alias>]
[-keystore <keystore>] [-storepass <storepass>]
[-storetype <storetype>] [-provider <provider_class_name>]
例如:keytool -list -v -alias RapaServer -keystore cacerts -storepass 12345678

keytool -list -v -keystore d2aapplet.keystore -storepass 12345678 -storetype IAIKKeystore


2.将证书导出到证书文件


例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
将把证书库 monitor.keystore 中的别名为 monitor 的证书导出到 monitor.cer 证书文件中,它包含证书主体的信息及证书的公钥,不包括私钥,可以公开。

keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore


3.将keystore导入证书中


这里向Java默认的证书 cacerts导入Rapa.cert

keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts


4.证书条目的删除


keytool的命令行参数 -delete 可以删除密钥库中的条目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,这条命令将 d2aApplet.keystore 中的 RapaServer 这一条证书删除了。


5.证书条目口令的修改


使用 -keypasswd 参数,如:keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore,可以以交互的方式修改 d2aApplet.keystore证书库中的条目为 RapaServer 的证书。
Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore这一行命令以非交互式的方式修改库中别名为 RapaServer 的证书的密码为新密码 654321,行中的 123456 是指该条证书的原密码, 888888 是指证书库的密码。


cas 证书 生成、导入、导出过程


一、生成keystore:


keytool -genkey -keyalg RSA -alias newlifegroupsso  -storepass changeit -keystore D:/keys/newlifegroup/server.keystore


您的名字与姓氏是什么?
  [Unknown]:  cas.newlifegroup.com.cn
您的组织单位名称是什么?
  [Unknown]:  新生活集团(中国)有限公司
您的组织名称是什么?
  [Unknown]:  电算部
您所在的城市或区域名称是什么?
  [Unknown]:  沈阳
您所在的州或省份名称是什么?
  [Unknown]:  辽宁
该单位的两字母国家代码是什么
  [Unknown]:  CN
CN=cas.newlifegroup.com.cn, OU=新生活集团(中国)有限公司, O=电算部, L=沈阳, ST=辽宁, C=CN 正确吗?
  [否]:  y


输入<newlifegroupsso>的主密码
        (如果和 keystore 密码相同,按回车):
再次输入新密码:


-dname "cn=cas.newlifegroup.com.cn"


二、 导出证书


keytool -export -alias newlifegroupsso -file D:/keys/newlifegroup/newlifegroupsso.crt -storepass changeit -keystore D:/keys/newlifegroup/server.keystore


保存在文件中的认证 <D:/keys/newlifegroup/newlifegroupsso.crt>


三、 导入证书


keytool -import -alias newlifegroupsso -file D:/keys/newlifegroup/newlifegroupsso.crt -keystore %java_home%/jre/lib/security/cacerts -storepass changeit


所有者:CN=cas.newlifegroup.com.cn, OU=新生活集团(中国)有限公司, O=电算部, L=沈阳, ST=辽宁, C=CN
签发人:CN=cas.newlifegroup.com.cn, OU=新生活集团(中国)有限公司, O=电算部, L=沈阳, ST=辽宁, C=CN
序列号:4df1b784
有效期: Fri Jun 10 14:19:48 CST 2011 至Thu Sep 08 14:19:48 CST 2011
证书指纹:
        MD5:A0:7E:93:EB:18:88:95:6A:AB:FC:23:6C:24:7A:73:DD
        SHA1:2F:BC:13:59:5E:1A:15:06:C5:3E:52:2E:DA:4C:82:49:55:62:5F:31
        签名算法名称:SHA1withRSA
        版本: 3
信任这个认证? [否]:  y
认证已添加至keystore中




四、查看证书


D:\Java\jdk1.6.0_24\bin>keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit


Keystore 类型: JKS
Keystore 提供者: SUN


您的 keystore 包含 3 输入


newlifegroupsso, 2011-6-10, trustedCertEntry,
认证指纹 (MD5): A0:7E:93:EB:18:88:95:6A:AB:FC:23:6C:24:7A:73:DD
tomcatsso, 2011-5-30, trustedCertEntry,
认证指纹 (MD5): 8B:3B:FF:0A:D3:05:50:71:10:32:28:1F:47:EA:62:D9
sso, 2011-5-30, trustedCertEntry,
认证指纹 (MD5): 24:35:AF:9A:17:76:D7:D7:DA:0E:FD:40:40:88:2C:6A




五、tomcat server.xml中添加的配置信息


<Connector protocol="org.apache.coyote.http11.Http11Protocol"
           port="8443" minSpareThreads="5" maxSpareThreads="75"
           enableLookups="true" disableUploadTimeout="true"
           acceptCount="100"  maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="E:\NLCAS\证书\server.keystore" keystorePass="changeit"
           truststoreFile="D:/Java/jdk1.6.0_24/jre/lib/security/cacerts"
           clientAuth="false" sslProtocol="TLS"/> 




web.xml

[html]  view plain copy print ?
  1. <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->  
  2.     <listener>  
  3.         <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
  4.     </listener>  
  5.   
  6.     <!-- 该过滤器用于实现单点登出功能,可选配置。 -->  
  7.     <filter>  
  8.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  9.         <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
  10.     </filter>  
  11.     <filter-mapping>  
  12.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  13.         <url-pattern>/*</url-pattern>  
  14.     </filter-mapping>  
  15.   
  16.     <!-- 该过滤器负责用户的认证工作,必须启用它 -->  
  17.     <filter>  
  18.         <filter-name>CASFilter</filter-name>  
  19.         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
  20.         <init-param>  
  21.             <param-name>casServerLoginUrl</param-name>  
  22.             <param-value>https://cas.newlifegroup.com.cn:8443/cas/login</param-value>  
  23.             <!--这里的server是服务端的IP -->  
  24.         </init-param>  
  25.         <init-param>  
  26.             <param-name>serverName</param-name>  
  27.             <param-value>http://192.168.10.22:8900</param-value>  
  28.         </init-param>  
  29.     </filter>  
  30.     <filter-mapping>  
  31.         <filter-name>CASFilter</filter-name>  
  32.         <url-pattern>/*</url-pattern>  
  33.     </filter-mapping>  
  34.   
  35.     <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->  
  36.     <filter>  
  37.         <filter-name>CAS Validation Filter</filter-name>  
  38.         <filter-class>  
  39.             org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
  40.         <init-param>  
  41.             <param-name>casServerUrlPrefix</param-name>  
  42.             <param-value>https://cas.newlifegroup.com.cn:8443/cas</param-value>  
  43.         </init-param>  
  44.         <init-param>  
  45.             <param-name>serverName</param-name>  
  46.             <param-value>http://192.168.10.22:8900</param-value>  
  47.         </init-param>  
  48.           
  49.           
  50.         <init-param>  
  51.             <param-name>encoding</param-name>  
  52.             <param-value>UTF-8</param-value>  
  53.         </init-param>  
  54.           
  55.           
  56.       
  57.     </filter>  
  58.     <filter-mapping>  
  59.         <filter-name>CAS Validation Filter</filter-name>  
  60.         <url-pattern>/*</url-pattern>  
  61.     </filter-mapping>  
  62.   
  63.     <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->  
  64.     <filter>  
  65.         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
  66.         <filter-class>  
  67.             org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
  68.     </filter>  
  69.     <filter-mapping>  
  70.         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
  71.         <url-pattern>/*</url-pattern>  
  72.     </filter-mapping>  
  73.   
  74.     <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
  75.     <filter>  
  76.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  77.         <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
  78.     </filter>  
  79.     <filter-mapping>  
  80.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  81.         <url-pattern>/*</url-pattern>  
  82.     </filter-mapping>  
  83.   
  84.     <!-- 自动根据单点登录的结果设置本系统的用户信息 -->  
  85.     <filter>  
  86.         <display-name>AutoSetUserAdapterFilter</display-name>  
  87.         <filter-name>AutoSetUserAdapterFilter</filter-name>  
  88.         <filter-class>com.newlifegroup.filter.AutoSetUserAdapterFilter</filter-class>  
  89.     </filter>  
  90.     <filter-mapping>  
  91.         <filter-name>AutoSetUserAdapterFilter</filter-name>  
  92.         <url-pattern>/*</url-pattern>  
  93.     </filter-mapping>  
  94.       
  95.     <!-- ======================== 单点登录结束 ======================== -->  


微甜灬呼吸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中心认证服务(CAS)入门(一)
nylic的博客
10-10 2317
首先下载CAS程序修改host文件(c:/Windows/System32/drivers/etc/hosts): 修改tomcat配置 server.xml,找到<Host name="localhost" appBase="webapps"> </Host> 并行添加<Host name="www.server.com" appBase="server"> </Host>在tomcat中
CAS认证系统基础
何新生(Daniel) 勇敢坚毅真正之才智乃刚毅之志向。 —— 拿破仑
12-11 3674
CAS认证系统基础 本文中重点介绍CAS是什么,能干什么? Filter又是什么,跟CAS有什么关系? 一、基本定义:     在了解原理之前,我们 先了解一下概念:    1、CAS=Central Authentication Service,中央认证服务,就是一个认证系统。     2、SSO:全程Single Sign On,单点登录,SSO是在多个
Java cas-client-3.1.3 设置不拦截失效解决办法
小张的博客
01-11 1580
1、今天在和客户联调时发现个问题,就是cas的不拦截失效,所有的方法都被拦截了,原因就是 web.xml配置如下: 如上可以看出,cas拦截了所有的路径,不拦截的配置并没有起到作用。 2、解决办法:这样的问题首先要搞懂原理,底层代码的编写,首先准备一个反编译工具Java Decompiler ,打开后可以看到: 如上图,这个是cas-client-3.1.3的jar包的子方法,它这...
cas统一身份认证sso
01-29
统一身份认证CAS配置实现 SSO单点登录Spring-Security+&+CAS+使用手册 统一身份认证CAS配置实现 CAS登录验证(密码MD5、SHA加密后_再进行Base64加密实现代码)_与Liferay的用户身份验证对应
CAS 统一认证服务器应用
风中之枫
07-13 5086
预备知识:详细请见:Tomcat的帮助文档,:https://localhost:8080/tomcat-docs/ssl-howto.html  。1、用keytool生成证书:        keytool -genkey -alias tomcat -keyalg RSA
CAS统一认证平台
FST_TFS的博客
04-22 1075
CAS统一认证平台 原理 用户首次登录时流程 1)、用户浏览器访问系统A需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。 2)、系统A发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,没有,进行登录。 3)、认证中心呈现登录页面,用户登录,登录成功后,认证中心重定向请求到系统A,并附上认证通过令牌,此时认证中心同时生成了全局票据。 4)、此时再次进行登录检查,发现未登录,然后再次获取票据操作,此时可以获得票据(令牌),系统A与认证中心通信,验证令牌有效,证明用
CAS统一登录认证(5): CAS 配置中心
oyc的博客
03-14 1384
配置中心 一、前言 说到配置中心,不得不说一下微服务了。微服务是一种有别于传统单体架构的一种服务架构,简单理解微服务就是将原有的服务按照一点规则进行拆分,简而言之,微服务架构风格这种开发方法,是以开发一组小型服务的方式来开发一个独立的应用系统的。其中每个小型服务都运行在自己的进程中,并经常采用HTTP资源API这...
cas中央认证服务器的简单使用
小刘的博客
12-17 1149
企业级单点登录解决方案 :本文记录的是cas5.3的使用 技术文档:https://apereo.github.io/cas/5.1.x/ 1.https://github.com/apereo/cas-overlay-template/tree/5.3 下载cas服务器 2.idea导入maven项目,该项目是springboot的,已经打包成war,或者根据readme提示进行...
CAS认证服务器接口使用基础手册V.doc
11-24
用户需要将CAS认证服务器的配置文件拷贝到应用系统中,以便加载认证服务器的配置信息。 ##### 2.2.2.3 拷贝运行文件 用户需要将CAS认证服务器的运行文件拷贝到应用系统中,以便启动认证服务器。 ##### 2.2.2.4 ...
CAS 统一身份认证(一):系统编译与运行
程序员猴小萌的博客
01-14 4774
本文主要介绍CAS中央身份认证服务,详细说明了CAS 6.5版的下载、编译、部署和运行。
cas-client-core-3.1.3.jar
08-02
cas-client-core-3.1.3.jar
cas-client-core-3.3.3
09-04
cas-client-core-3.3.3.jar包 先看好是不是自己需要的版本在下载
基于CAS统一认证平台的设计与实现.pdf
10-23
CAS是一种企业级的、开源的统一认证服务协议,它允许一个Web应用访问多个基于Web的应用系统时,只需要登录一次即可访问所有相互信任的应用系统。这种机制称为单点登录(Single Sign-On,简称SSO)。 2. 单点登录...
net_proxy_demo.rar_CAS_breathkbl_sincedld_金智的cas_金智统一认证
09-25
金智CAS认证系统与反向代理的结合,为大型企业或组织提供了高效且安全的统一认证解决方案。 总结来说,金智CAS认证系统是实现企业级统一身份验证的重要工具,结合反向代理技术,能有效地在多应用环境中实现单点登录...
CAS统一身份认证(四):集成MySQL用户验证
程序员猴小萌的博客
10-08 3146
本文主要介绍CAS统一身份认证服务器的JDBC数据库认证功能,并以FreeBSD环境下的MySQL数据库为例实现了CAS 6.6版的数据库用户验证。主要包括CAS的数据库身份认证、MySQL数据库准备、用户验证属性配置文件、配置MySQL数据库支持,最后构建和测试CAS服务。
应用系统基于CAS实现单点登录的解决方案
01-29 2512
单点登录 (SingleSign-On,SSO) ,是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。
CAS(7)-建立使用Cas进行单点登录的应用
零度的博客专栏
05-25 2298
根据之前的描述我们知道,Cas由两部分组成,Cas Server和Cas ClientCas Server是Cas自己的服务端,而Cas ClientCas客户端,其需要与我们自己的应用进行集成。   1.1     加入cas-client-core-xxx.jar到classpath        在我们下载的Cas Client压缩包的modules目录下可以找到一个名为cas
Jasig cas 单点登录系统Server&Java Client配置
热门推荐
Java之旅
09-12 3万+
Jasig cas(Central Authentication Service)官方站点:http://www.jasig.org/cas,访问这个站点需要翻墙。 我下载的是:3.5.2版本,当前是最新release版本,只能运行在jdk6下,在jdk7下不能运行。 本篇介绍了Jasig cas的单点登录、单点登出的配置和原理,它是一个只负责认证的系统,关于授权,还是要业务系统自己来做。
OSS单点登录cas-client-core-3.2.1
emailscott的博客
03-05 7824
1. 添加 cas-client-core-3.2.1.jar 包 &lt;dependency&gt;     &lt;groupId&gt;org.jasig.cas.client&lt;/groupId&gt;     &lt;artifactId&gt;cas-client-core&lt;/artifactId&gt;     &lt;version&gt;3.2.1&lt;/versi...
cas 统一身份认证
最新发布
09-10
CAS统一身份认证解决了多个应用系统中独立实现用户认证的问题,提供了单点登录(Single Sign-On)功能,使用户可以方便地在多个应用系统之间切换而无需重复登录。此外,CAS还提供了用户授权和认证的功能,可以根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值