Yale CAS HTTPS认证及证书问题补充(取消默认HTTPS认证)

最新推荐文章于 2021-07-29 18:33:56 发布
最新推荐文章于 2021-07-29 18:33:56 发布
阅读量213 收藏
点赞数
分类专栏: SSO 文章标签: 应用服务器 Spring XML Bean 浏览器
环境:
tomcat7.05
cas-server-3.4.5
cas-client-3.2.0

CAS SERVER在开发阶段还算挺顺利,但在生产环境下就出现了一些问题了,大多是因为HTTPS引起的。因为开发环境中是单机,而生产环境下一般都是多机情况了尤其是使用单点登录的环境。

记得在之前使用SSL证书的时候CN是使用localhost的,而在生产环境下当然不能这样写了,而写什么呢?写IP的话是必须错的,只能写域名。但我在一个内网环境,没有DNS服务器。如果硬要写域名的话只能靠hosts映射了。

总结一下:

1、HTTPS是CAS SERVER的默认访问通道,由于考虑到安全性,数据都经过通过SSL通道加密传送。

2、使用HTTPS时,CA证书是必须的,而生成证书时的CN尤其重要,其他应用访问CAS SERVER的时候也受到CN所影响,若不匹配则会报异常。(所以localhost是不能使用的,因为其他应用访问时也必须受到https://证书CN/这样的访问限定)

3、若用内网中,没有DNS服务器,只能靠host作CN的域名映射。每台应用系统的hosts都必须增加CN的域名和IP映射条目。

4、默认情况下不信任的授权机构生成的CA证书必然引起浏览器提示。

所以说这个安全性会带来不少的工作量,特别是内网和拿不到正规证书的情况。若一般的应用安全性要求不高的话,也许会考虑取消掉这种HTTPS验证方式。

[b][size=medium]如何去掉HTTPS认证?[/size][/b]
说明:
默认情况下HTTP也是可以访问CAS SERVER的,但认证,登陆,退出等操作均没有任何的效果。所以必须作出下面的修改

在cas-server-3.4.5版本中修改认证方式还算挺简单的,基本不用修改源码。
1、进入WEB-INF\spring-configuration目录
打开warnCookieGenerator.xml文件
修改p:cookieSecure的值为false

2、打开ticketGrantingTicketCookieGenerator.xml文件
同样修改p:cookieSecure的值为false

3、打开WEB-INF\deployerConfigContext.xml文件
查找org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler
把这代码块修改为如下: 
                <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
					p:httpClient-ref="httpClient"
                                        p:requireSecure="false"


这样就大功告成了
iteye_4929
关注
专栏目录
单点登录(七)-----实战-----cas server去掉https验证
直到世界的尽头
02-07 1万+
我们在搭建cas中已经说过如果不搭建https证书体系的需要去掉https的验证:  单点登录(二)----实战------简单搭建CAS---测试认证方式搭建CAS因为cas4.2以上的代码做了一些框架的优化,4.2以下的版本的很多配置都是写在xml文件中。4.2以上统一提取到了cas.properties文件中。所以在去掉https的时候 方式也有所变化。现在网上查到的资料很多都还停留在对4.
SSO统一身份认证——CAS Server6.3.x配置HTTPS与申请证书(三)
CN華少的博客
07-16 342
SSO统一身份认证——CAS Server6.3.x配置HTTPS与申请证书(三) 背景 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。...
为Jboss/tomcat配置Yale-CAS(一)证书和SSL
软件生产流程和软件人员心理的思考-Alfred
08-05 118
环境信息: jdk1.5 jboss 4.0.3sp1 cas-server-3.2.1.1-release cas-client-2.0.11 1.生成证书:   写道 一条命令建立keystore keytool -genkey -keyalg RSA -keysize 512 -dname "CN=pso.cas.server,O=infolab,C=cn,L=infolab,S=Han...
SSO单点登录之二:Yale CAS实现单点登录(服务器端)
evilcry2012的专栏
11-07 5246
SSO单点登录之二:Yale CAS实现单点登录(服务器端) 博客分类:  SSO单点登录 应用服务器SSOBeanMySQLSpring  耶鲁大学开发的CAS单点登录系统在SSO中应该说是比较有名的啦,既然也是开源的,我们为何不拿过来学习学习呢 很早之前的耶鲁的CAS开源包地址是在:http://www.yale.edu/tp/auth/  目前的CAS
YALE CAS HTTPS认证方式问题备忘
amyson的专栏
11-09 949
 当使用SSL作为CAS的服务端与客户端的认证通讯协议时,必须制作安全证书以供SSL使用;而安全证书的规范则要求:CN必须是所在机器的域名或者主机名(不能是IP地址);同时,CAS客户端实现时,将CAS服务端的认证地址直接以redirect的方式发送给访问者的IE。最终导致:所有IE访问者的机器必须能够识别到证书的CN标识的服务器。举例:证书的CN=ssoserver,则CAS客户端(实际上是具体
cas 配置 忽略服务器证书问题,【转】javax.net.ssl.SSLHandshakeException(Cas导入证书)...
weixin_42347873的博客
07-29 492
本文转自:http://my.oschina.net/laiwanshan/blog/159057一.报错:javax.net.ssl.SSLHandshakeException二.原因分析:CAS部署时,常常要涉及到HTTPS证书发布问题。由于在实验环境中,CAS和应用服务常常是共用一台PC机,它们跑在相同的JRE环境和Tomcat服务器上,因此忽略了证书的实际用途,一旦将CAS和应用分别部...
Yale CAS Server的部署及cas-java-client 3.2的应用
05-29
Yale CAS Server的部署及cas-java-client 3.2的应用》 CAS(Central Authentication Service,中央认证服务)是耶鲁大学开发的一个开源的身份验证框架,它为Web应用程序提供了单一登录(Single Sign-On,SSO)...
Yale CAS实现单点登陆的客户端和服务端源码
12-23
Yale CAS实现单点登陆的客户端源码和服务端源码,客户端cas-client-3.1.10代码和cas-server-3.4.2.1代码
CAS单点登录【1】-理论(cas架构、https、SSL、TLS、非对称加密、证书、CA、握手)、OpenSSL、cas认证、指定加密策略)
LawssssCat的博客
03-12 1533
sso(Single Sign On) 单点登录 cas(Central Authentication Service) 中央认证服务 cas 默认httpsHTTPS:HTTP + SSL HTTP (HyperText Transfer Protocol) 超文本传输协议 SSL(Secure Sockets Layer) 安全接口层 ...
eterna的研究
weixin_30641465的博客
01-15 121
http://code.google.com/p/eterna/ 转载于:https://www.cnblogs.com/Peter-Youny/archive/2013/01/15/2861522.html
CAS采用http方式不采用https方式配置
海纳百川
04-17 459
cas3一下的版本网上介绍说比较复杂,本人未测试。本文是在cas-server3.4版本上测试成功的,记录在此以供以后查询 主要有以下步骤: 1. WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml中将p:cookieSecure="true"修改为 p:cookieSecure="false" 2. WE...
4.2以下cas server去掉https验证,tomcat改为https验证
weixin_33400820的博客
01-31 1294
4.2以下cas server去掉https验证 cas默认是采用https模式的,我们没有配置证书,所以要么配置证书,要么取消https的过滤,让http协议也能访问。 我们这里取消https的配置,让http也能访问。 需要修改三个地方的配置(针对4.0.0版本,其他版本的话第一处必改,其他的看看还有没有带有cookie的文件名) 修改一deployerConfigContext.x...
HTTP和HTTPS详解。
weixin_30825581的博客
10-24 1013
一,HTTP和HTTPS基本概念   深入学习某个东西时,我们先来从维基百科上看看它俩的概念。   HTTP:超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议[1]。HTTP是万维网的数据通信的基础。设计HTTP最初的目的是为了提供一种发布和接收HTML...
介绍http协议 HTTP和HTTPS的区别,以及HTTPS有什么缺点? HTTP返回码 http协议会话结束标志怎么截出来?
qq_41007781的博客
07-01 651
HTTP协议和HTTPS协议区别如下: 1)HTTP协议是以明文的方式在网络中传输数据,而HTTPS协议传输的数据则是经过TLS加密后的,HTTPS具有更高的安全性 2)HTTPS在TCP三次握手阶段之后,还需要进行SSL 的handshake,协商加密使用的对称加密密钥 3)HTTPS协议需要服务端申请证书浏览器端安装对应的根证书 4)HTTP协议端口是80,HTTPS协议端口是443 HTT...
HTTP 状态码
热门推荐
xiaozhupiggg的专栏
06-20 1万+
HTTP状态码当浏览者访问一个网页时,浏览者的浏览器会向网页所在服务器发出请求。当浏览器接收并显示网页前,此网页所在的服务器会返回一个包含HTTP状态码的信息头(server header)用以响应浏览器的请求。HTTP状态码的英文为HTTP Status Code下面是常见的HTTP状态码:200 - 请求成功301 - 资源(网页等)被永久转移到其它URL404 -
CAS 5.3 使用http协议替代https协议提供服务
搬山境KL攻城狮的修炼手册
11-26 915
CAS 5.3 使用https协议替代http协议提供服务一、版本说明二、使用http协议提供服务1.springboot内嵌tomcat部署2.tomcat部署(非内嵌)3.清理https协议下配置4.注意事项 一、版本说明 CAS Server默认使用https协议提供服务,https协议需要ssl证书,可以使用jdk工具keytool生成自签名证书,也可到证书机构申请证书(收费)。 cas.version 5.3.16 springboot.version 1.5.18.RELEASE jdk自签
HTTPS全面解析
cj_286的博客
02-15 9142
百度百科对https的介绍: HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据
如何将http切换成https,消除网址显示“不安全”警告
SSL加密技术
12-05 6273
随着互联网络的飞速发展,数据泄露事件的频发,为了更好的保护用户的信息和资金安全,谷歌等各大主流浏览器将所有未加密的HTTP页面标记为“不安全”,并提示“不要在该网站输入任何敏感信息 (如密码或信用卡信息),因为攻击者可能会盗取这些信息”。 这种“不安全”的警告对用户是一个很好的警示,但对网站所有者来说,出现这种“不安全”的警示,将会给企业带来严重的损失。会导致用户的流失,还会损害企业形象并失去用...
Yale CAS单点登录配置详解及流程
"《CAS单点登录配置手册》是一份详细介绍CAS (Central Authentication Service) 的技术文档,它是由耶鲁大学发起并开源的单点登录解决方案,于2004年加入JA-SIG项目。CAS的核心目标是为企业级Web应用提供安全且可靠...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值