CAS统一登录认证(2): CAS Server启用https

一、前言

        上节（CAS统一登录认证(1): 搭建 CAS Server）我们已经完成的CAS Server的搭建，但是从下图的登录界面我们可以明显发现有两个红色警告，第一个警告就是因为我们使用的是http协议，虽然我们可以在cas server中配置让其可以用http访问，但是系统会认为是处于不安全状态。Cas server默认的安全认证是基于https协议的，这就要求在应用程序和CAS Server端配置SSL协议，那么这一节，我们就开始启用https协议。

未启用http的登录界面：

二、生成密钥

      要使用https协议，就需要用到安全证书，这里我们通过JDK自带的Java数据证书的管理工具keytool来制作。keytool将密钥（key）和证书（certificates）存在一个称为密钥库keystore的文件中，在keystore里，包含两种数据：

• 密钥实体（Key entity）——密钥（secret key）也可以成为私钥或者配对公钥（采用非对称加密）
• 可信任的证书实体（trusted certificate entries）——只包含公钥

2.1 在jdk的安装目录\bin\keytool.exe下打开命令行提示符

2. 2 在命令行中输入生成keystore的命令，新生成一个密钥库:

keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36500 -alias cas -storepass 123456 -keystore G:/cas.keystore -dname "CN=localhost,OU=oy,O=oy,L=GuangZhou,ST=GuangDong,C=CN"

-alias "cas"：证书项的名字，必填项
-keyalg RSA：证书签名算法，tomcat建议RSA
-validity 36500：证书有效期，36500天，即100年
-storepass 123456：密钥库密码，也就是等下要生成的sinoauthsso.keystore的访问密码，妥善保管
-keystore "E:\cas.keystore"：要生成的文件的位置，存储在E盘根目录
-v：该选项会显示比较详细的信息 
以上命令将生产一对非对称密钥和自我签名的证书E:\cas.keystore

三、tomcat方式配置https

定位到tomcat服务器的安装目录, 找到conf下的server.xml文件

修改tomcat配置文件server.xml:

<!--老版本tomcat的配置，在tomcat8下测试成功-->
<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="443"/>
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS" keystoreFile="/conf/cas.keystore"
    keystorePass="123456"/>

注意：以上配置是老版本tomcat的配置，从tomcat8.5开始tomcat更改了配置形式，如上配置估计在tomcat10的时候会完全废弃，在tomcat9.0下测试成功的配置如下：

<!--新版本tomcat的配置，在tomcat9下测试成功-->
<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="443" />
<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/cas.keystore" certificateKeystorePassword="123456" />
        </SSLHostConfig>
</Connector>

要修改的配置文件是tomcat的server.xml文件:

        第一个Connector是默认就有的，这里只是把8080端口改成了公认的80端口，把8443端口改成了公认的443端口。

        第二个Connector默认是注释掉的，搜索8443就能找到，直接把上述第二个Connector粘贴到server.xml中第一个Connector的下面，方便管理。keystoreFile=”/conf/cas.keystore”就是刚才copy的文件的位置，可以自己改到其他位置。keystorePass=”123456”就是刚才创建密钥库时使用的口令。

启动tomcat，在浏览器地址栏输入https://localhost/cas/login，即可得到以下界面：

从上图可以看出，原来的不安全警告没了，还剩下一个静态身份验证的警告，后期我们切换成数据库、动态验证码、ldap等身份验证方式既可。我们同样使用默认用户名/密码：casuser/Mellon登录，一切正常。

四、命令行方式配置https

        从上节我们知道，Cas server默认设置的证书为\etc\cas\thekeystore，我们使用Windows环境部署，需要修改它的默认配置，我们使用覆盖重写的方式：

        首先我们需要在建立src\main\resources目录，然后将cas.keystore拷贝到resources文件夹下。

        在G:\cas-overlay-template-5.1\target\cas\WEB-INF\classes中将application.properties也拷贝到src\main\resources目录中，

调整如下：

server.ssl.enabled=true

server.ssl.keyAlias=cas
server.ssl.key-store=classpath:cas.keystore
server.ssl.key-store-password=123456
server.ssl.key-password=123456

重新执行build.cmd run 命令，等待打包完成并显示READY字样，在浏览器输入https://127.0.0.1:8443/cas/login，看到以下界面则说明https启用成功了：