CAS单点登录学习笔记四之HTTPS 单向认证方式 服务端和客户端配置
http://www.flypeng.com win10系统 发布时间:2016-01-05 10:00 来源:未知 浏览:加载中

一、生成服务端密钥文件
二、生成服务端证书
三、导入证书文件到cacerts密钥库文件
四、服务端Tomcat配置
五、生成客户端密钥库文件
六、客户端应用配置
七、补充说明
八、常见配置错误

 

 

配置说明

 

 

 

一、     生成服务端密钥文件

 

登录服务器打开一个CMD窗口(开始菜单 -> 运行输入cmd后回车)并切换到tomcat安装目录下(如:c:\tomcat-cas),执行如下命令:

 

keytool -genkey -alias casserver -keypass demosso -keyalg RSA  -keystore casserver.keystore  -validity 365

 

 

执行后,可以看到tomcat安装目录下生成了一个casserver.keystore文件。如下图:

 

 

 

 

说明:-alias指定别名为casserver;-keyalg指定RSA算法;-keypass指定私钥密码;-keystore指定密钥文件名称为casserver.keystore;-validity指定有效期为365天。另外提示的输入keystore密码应与-keypass指定的相同;您的名字与姓氏是CAS服务器使用的域名(不能是IP,也不能是localhost),其它项随意填。

 

注意:服务器上如果有多个JDK,请确认环境变量中的JDK路径为tomcat所使用的JDK,如果不在环境变量中,也可切换到指定JDK的bin目录下执行命令;提示的输入keystore密码应与-keypass必须与指定的相同,否则后面tomcat启动会报IO异常(Cannot recover key)。

 

 

 

 

 

二、     生成服务端证书

 

根据以上生成的服务端的密钥文件可以导出服务端证书,执行以下命令:

 

keytool -export -alias casserver -storepass demosso -file casserver.cer -keystore casserver.keystore

 

 

执行后,可以看到tomcat安装目录下生成了一个casserver.cer文件。如下图:

 

 

 

 

说明:-alias指定别名为casserver;-storepass指定私钥为demosso;-file指定导出证书的文件名为casserver.cer;-keystore指定之前生成的密钥文件的文件名。

 

注意:-alias和-storepass必须为生成casserver.keystore密钥文件时所指定的别名和密码,否则证书导出失败,报如下错误:

 

 

 

 

 

 

三、     导入证书文件到cacerts 密钥库文件

 

导入以上生成的服务端的证书文件到一个cacerts密钥库文件,执行以下命令:

 

keytool -import -trustcacerts -alias casserver -storepass demosso  -file casserver.cer –keystore cacerts

 

 

执行后,可以看到tomcat安装目录下生成了一个cacerts文件。如下图:

 

 

 

 

 

 

四、     服务端Tomcat配置

 

在制作完成密钥文件、证书文件、密钥库文件后即可进行服务端Tomcat的配置。打开$CATALINA_HOME/conf/server.xml文件,注释掉如下代码段:

 

<Connector port="80"protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/>

 

并取消注释<Connectorport="8443" protocol="HTTP/1.1" SSLEnabled="true"…/>代码段,修改后如下:

 

 

 

 

 

 

Java代码  收藏代码
  1. <Connector SSLEnabled="true" clientAuth="false"     
  2.     keystoreFile="D:/Java/apache/apache-tomcat-cas/casserver.keystore"     
  3.     keystorePass="demosso"     
  4.     maxThreads="150"     
  5.     port="443"     
  6.     protocol="org.apache.coyote.http11.Http11Protocol"     
  7.     scheme="https" secure="true" sslProtocol="TLS"/>    
  8. <!--keystoreFile 生成的安全证书的位置 -->    
  9. <!--keystorePass设置安全证书的密码-->  

 

说明:port一般为8443或443,最常用的是443端口(https默认端口),这样https方式访问的时候可以不加端口号(如:https://sso.demo.com/cas/login);keystoreFile为tomcat目录下的密钥文件;keystorePass为私钥密码;truststoreFile为生成的信任文件,如果此处不指定则默认为$JAVA_HOME/jre/lib/security/cacerts文件;其它属性默认即可。

 

 

五、     生成客户端密钥库文件

单向认证的客户端配置只需生成客户端信任文件caserts即可。首先将服务端生成的证书文件(之前生成的casserver.cer文件)复制到$JAVA_HOME/jre/lib/security下,然后打开CMD窗口切换到$JAVA_HOME/jre/lib/security下并执行命令:

keytool -import -trustcacerts -alias casclient -storepass changeit -file casserver.cer -keystore cacerts

 

执行后,可以看到$JAVA_HOME/jre/lib/security目录下生成了一个cacerts文件。如下图:

 

备注:JDK JRE security  storepass 默认密码 changeit

 

六、     客户端应用配置

1、应用程序WEB-INF\lib目录下加入cas-client-core-3.2.1.jar包并添加到buildpath中;

2、编辑应用程序中的web.xml文件在最末端加入如下内容:

Java代码  收藏代码
  1. <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->  
  2.     <listener>  
  3.         <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
  4.     </listener>  
  5.     <!-- 该过滤器用于实现单点登出功能,可选配置。 -->  
  6.     <filter>  
  7.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  8.         <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
  9.     </filter>  
  10.     <filter-mapping>  
  11.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  12.         <url-pattern>/*</url-pattern>  
  13.     </filter-mapping>  
  14.   
  15.     <!-- 该过滤器负责用户的认证工作,必须启用它 -->  
  16.     <filter>  
  17.         <filter-name>CAS Authentication Filter</filter-name>  
  18.         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
  19.         <init-param>  
  20.             <param-name>casServerLoginUrl</param-name>  
  21.             <param-value>https://sso.demo.com/cas/login</param-value>  
  22.         </init-param>  
  23.         <init-param>  
  24.             <param-name>renew</param-name>  
  25.             <param-value>false</param-value>  
  26.         </init-param>  
  27.         <init-param>  
  28.             <param-name>gateway</param-name>  
  29.             <param-value>false</param-value>  
  30.         </init-param>  
  31.         <init-param>  
  32.             <param-name>serverName</param-name>  
  33.             <param-value>http://localhost:8082</param-value>  
  34.         </init-param>  
  35.     </filter>  
  36.     <filter-mapping>  
  37.         <filter-name>CAS Authentication Filter</filter-name>  
  38.         <url-pattern>/login-page.html</url-pattern>  
  39.     </filter-mapping>  
  40.     <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->  
  41.     <filter>  
  42.         <filter-name>CAS Validation Filter</filter-name>  
  43.         <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
  44.         <init-param>  
  45.             <param-name>casServerUrlPrefix</param-name>  
  46.             <param-value>https://sso.demo.com/cas</param-value>  
  47.         </init-param>  
  48.         <init-param>  
  49.             <param-name>serverName</param-name>  
  50.             <param-value>http://localhost:8082</param-value>  
  51.         </init-param>  
  52.         <init-param>  
  53.             <param-name>useSession</param-name>  
  54.             <param-value>true</param-value>  
  55.         </init-param>  
  56.         <init-param>  
  57.             <param-name>redirectAfterValidation</param-name>  
  58.             <param-value>true</param-value>  
  59.         </init-param>  
  60.     </filter>  
  61.     <filter-mapping>  
  62.         <filter-name>CAS Validation Filter</filter-name>  
  63.         <url-pattern>/*</url-pattern>  
  64.     </filter-mapping>  
  65.     <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->  
  66.     <filter>  
  67.         <filter-name>CAS HttpServletRequest WrapperFilter</filter-name>  
  68.         <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
  69.     </filter>  
  70.     <filter-mapping>  
  71.         <filter-name>CAS HttpServletRequest WrapperFilter</filter-name>  
  72.         <url-pattern>/*</url-pattern>  
  73.     </filter-mapping>  
  74.     <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
  75.     <filter>  
  76.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  77.         <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
  78.     </filter>  
  79.     <filter-mapping>  
  80.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  81.         <url-pattern>/*</url-pattern>  
  82.     </filter-mapping>  
  83.     <!-- 自定义的filter,在用户登录成功之后进行处理 -->  
  84.     <filter>  
  85.         <filter-name>AuthenticationFilter</filter-name>  
  86.         <filter-class>com.filter.AuthenticationFilter</filter-class>  
  87.     </filter>  
  88.     <filter-mapping>  
  89.         <filter-name>AuthenticationFilter</filter-name>  
  90.         <url-pattern>/*</url-pattern>  
  91.     </filter-mapping>  

 

 

Java代码  收藏代码
  1. import java.io.IOException;  
  2.   
  3. import javax.servlet.Filter;  
  4. import javax.servlet.FilterChain;  
  5. import javax.servlet.FilterConfig;  
  6. import javax.servlet.ServletException;  
  7. import javax.servlet.ServletRequest;  
  8. import javax.servlet.ServletResponse;  
  9. import javax.servlet.http.HttpServletRequest;  
  10. import org.jasig.cas.client.validation.Assertion;  
  11.   
  12. public class AuthenticationFilter implements Filter {  
  13.   
  14.     @Override  
  15.     public void destroy() {  
  16.     }  
  17.   
  18.     @Override  
  19.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,  
  20.                             ServletException {  
  21.         HttpServletRequest httpRequest = (HttpServletRequest) request;  
  22.         // _const_cas_assertion_是CAS中存放登录用户名的session标志  
  23.         Object object = httpRequest.getSession().getAttribute("_const_cas_assertion_");  
  24.         if (object != null) {  
  25.             Assertion assertion = (Assertion) object;  
  26.             String loginName = assertion.getPrincipal().getName();  
  27.             User user = session 中获取user对象  
  28.             // 第一次登录系统  
  29.             if (user == null) {  
  30.         自行实现获User对象的方法                  
  31.                 //User _user = userService.getUserByName(loginName);  
  32.                 // 保存用户信息到Session  
  33.                 //setCurrentUser(httpRequest, _user);  
  34.                 System.out.println("current user :" + _user);  
  35.             }  
  36.         }  
  37.         filterChain.doFilter(request, response);  
  38.     }  
  39.   
  40.     @Override  
  41.     public void init(FilterConfig arg0) throws ServletException {  
  42.   
  43.     }  
  44.   
  45. }  

 

说明:LoginFilter内容一般为获取用户基本信息、菜单信息然后保存到session中;sso.demo.com为CAS服务器的域名,也就是之前使用keytool –genkey命令指定的“名字与姓氏”。若未申请域名,也可以本地模拟实现域名解析,编辑C:\WINDOWS\system32\drivers\etc\hosts文件添加:CAS服务器IP  sso.demo.com 即可),如下图:

注意:serverName属性值为客户端实际IP地址,可以为域名但绝不能为localhost!

 

1、   客户端程序单点退出功能,需要访问https://sso.demo.com/cas/logout,下面提供了一个示例,当点击退出按钮(或超链接)时,调用javascript方法ssoLogout()。ssoLogout()定义如下(可根据实际需求自行修改):

 

[javascript] view plaincopyprint?
 
  1. <scripttype="text/javascript">  
  2. function ssoLogout(){  
  3.     if(confirm('确定要退出系统吗?')){  
  4.         top.location.href ='https://sso.demo.com/cas/logout?service='+location.protocol+'//'+location.host+location.pathname;  
  5.     }  
  6. }  
  7. </script>  

 

 

七、     补充说明

上面讲的是CAS单独部署的情况,也就是与其它应用分开部署。但有些情况是CAS与其它应用部署到同一台机器同一个Tomcat(关键问题是使用同一个JDK),这种情况下,服务端Tomcat配置中的<Connector truststoreFile属性就要指定为jdk下的cacerts文件路径或者直接注释掉(默认会找$JAVAHOME\jre\lib\security\下的cacerts文件)。这样服务端和客户端是同一个,也就不必再根据服务端证书生成客户端密钥库文件了。

 

 

八、     常见配置错误

1、  CAS服务端Tomcat启动后报错:Error initializing endpoint java.io.IOException: Cannot recover key

是由于生成服务端密钥文件时所指定的keypass与提示输入的“keystore密码”不一致。

2、  javax.servlet.ServletException: org.jasig.cas.client.validation.TicketValidationException:绁ㄦ牴'ST-2-hozuLnLtIVGeaD5yju0Y-cas'涓嶇鍚堢洰鏍囨湇鍔?

一般是由于客户端应用web.xml中配置的serverName属性值为localhost或CAS服务端cas-servlet.xml配置文件中的<bean logoutController/>没加p:followServiceRedirects="true"退出后重定向属性。

3、  SSLHandshakeException: java.security.cert.CertificateException: Nosubject alternative names present

是由于客户端应用web.xml配置中的casServerLoginUrl和casServerUrlPrefix两个URL属性的域名与证书中定义的不一致。

 

注意:

1、keytool 生成安全证书不能使用IP地址 一律使用域名

2、务必确认客户端程序使用JDK 路径正确 分清楚JDK、JRE

如果你有好的win10资讯或者win10教程,以及win10相关的问题想要获得win10系统下载的关注与报道。
欢迎加入发送邮件到657025171#qq.com(#替换为@)。期待你的好消息!