安装CAS
让我们先简单了解下CAS。全称 Central Authentication Service,中文翻译为中央认证服务,官方网址是http://www.jasig.org/cas。它是一个开源产品。具有如下特点:
- 用它做各个系统的集成后,各个系统只需关注跟CAS做集成即可,不会引入系统间的任何依赖。
- 各个系统集成后,登陆的认证中心在CAS,各个系统只能从CAS获得用户输入的用户名,然后自动完成登陆。另外,CAS认证支持对数据库表的查询和比较。
- CAS默认使用HTTPS协议,需要安装CA(Certificate Authority,中文名叫数字证书认证机构)证书。如果不想启用HTTPS,请参考CAS不起用HTTPS。
下面介绍中默认为采用HTTPS协议。
安装步骤:
定义域名
HTTPS信任域名,而不信任IP。因此需要先设定一个域名,如果不采用HTTPS,可以跳过这个一步。
假定域名设置为sso.aurora-framework.org。
在C:\Windows\System32\drivers\etc\hosts添加内容如下:
127.0.0.1 sso.aurora-framework.org
生成CA证书
证书是单点登录认证系统中很重要的一把钥匙,客户端于服务器的交互安全靠的就是证书。我们这边用JDK自带的keytool工具生成证书, 如果以后真正在产品环境中使用肯定要去证书提供商去购买。
购买正版证书,请查看购买证书。
用JDK自带的keytool工具生成密钥库,在命令行输入:
keytool -genkey -alias aurora -keyalg RSA -keystore E:/tomcats/tomcat7/keystore/aurora
没有Keytool这个命令?请参考设置JAVA环境变量。
以上这个命令就是在E:/tomcats/tomcat7/keystore/aurora上建立一个别名叫aurora,算法是RSA的证书库。这里E:/tomcats/tomcat7/keystore/这个目录需要预先存在。比如在tomcat根目录下新建一个keystore文件夹。
其中“您的名字与姓氏是什么”一栏需要填入设定的域名(这里假定是sso.aurora-framework.org),其他可以随便填写。密钥库口令同样随意设置,为了方便记忆,这里设置为aurora。
导出一个证书
在命令行中输入
keytool -export -file E:/tomcats/tomcat7/keystore/aurora.crt -alias aurora -keystore E:/tomcats/tomcat7/keystore/aurora
-file 是新生成的证书文件,证书别称叫aurora,-keystore就是刚才生成的密钥库。
密钥库口令就是刚才设置的,这里假定是aurora。
至此,E:/tomcats/tomcat7/keystore/应该有如下两个文件:
客户端导入证书
找到客户端JDK的安装目录,比如是C:/Program Files/Java/jdk1.7.0_03/。此目录是系统盘,所以请用管理员身份进入命令行。
在命令行中输入
keytool -import -keystore "C:/Program Files/Java/jdk1.7.0_03/jre/lib/security/cacerts" -file E:/tomcats/tomcat7/keystore/aurora.crt -alias aurora
这里keystore是客户端JDK的密钥库位置,-file是前面步骤中生成的证书文件,为了方便记忆,别名叫aurora。
这里密钥库密码默认是changeit。非自定义创建的密钥库密码都是changeit。
查看和删除证书请看查看和删除证书。
Tomcat启用HTTPS
打开tomcat目录的conf/server.xml文件,找到定义端口的节点,设置keystoreFile、keystorePass:
scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keystoreFile="keystore/aurora" keystorePass="aurora"
完整结果如下:
这里keystoreFile就是上文提到的自定义创建的密钥库路径,以为这个目录上文定义在tomcat目录下,所以使用相对路径,否则请使用绝对路径。KeystorePass就是密钥库的口令。
此时,启动tomcat,在浏览器输入https://sso.aurora-framework.org:8080/,看到如下页面,点击继续,显示tomcat管理页面,就表明HTTPS配置成功了。
部署CAS
- CAS服务端下载:http://www.jasig.org/cas/download,当前最新版本是CAS Server 3.5.2 Release
- 下载完成后将cas-server-3.5.2-release.zip解压,解压cas-server-3.5.2/modules/cas-server-webapp-3.5.2.war,改名为cas,然后复制cas目录到tomcat/webapp目录下。
- 现在可以访问CAS应用了,当然要使用HTTPS加密协议访问。在浏览器中输入:https://sso.aurora-framework.org:8080/cas/login
输入admin/admin点击登录(CAS默认的验证规则只要用户名和密码相同就通过)所以如果你看到下面的这张图片你就成功了
文章参考:
http://www.kafeitu.me/sso/2010/11/05/sso-cas-full-course.html。