CAS统一登录认证(2): CAS Server启用https
一、前言
上节(CAS统一登录认证(1): 搭建 CAS Server)我们已经完成的CAS Server的搭建,但是从下图的登录界面我们可以明显发现有两个红色警告,第一个警告就是因为我们使用的是http协议,虽然我们可以在cas server中配置让其可以用http访问,但是系统会认为是处于不安全状态。Cas server默认的安全认证是基于https协议的,这就要求在应用程序和CAS Server端配置SSL协议,那么这一节,我们就开始启用https协议。
未启用http的登录界面:
二、生成密钥
要使用https协议,就需要用到安全证书,这里我们通过JDK自带的Java数据证书的管理工具keytool来制作。keytool将密钥(key)和证书(certificates)存在一个称为密钥库keystore的文件中,在keystore里,包含两种数据:
- 密钥实体(Key entity)——密钥(secret key)也可以成为私钥或者配对公钥(采用非对称加密)
- 可信任的证书实体(trusted certificate entries)——只包含公钥
2.1 在jdk的安装目录\bin\keytool.exe下打开命令行提示符
2. 2 在命令行中输入生成keystore的命令,新生成一个密钥库:
keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36500 -alias cas -storepass 123456 -keystore G:/cas.keystore -dname "CN=localhost,OU=oy,O=oy,L=GuangZhou,ST=GuangDong,C=CN"-alias "cas":证书项的名字,必填项
-keyalg RSA:证书签名算法,tomcat建议RSA
-validity 36500:证书有效期,36500天,即100年
-storepass 123456:密钥库密码,也就是等下要生成的sinoauthsso.keystore的访问密码,妥善保管
-keystore "E:\cas.keystore":要生成的文件的位置,存储在E盘根目录
-v:该选项会显示比较详细的信息
以上命令将生产一对非对称密钥和自我签名的证书E:\cas.keystore
三、tomcat方式配置https
定位到tomcat服务器的安装目录, 找到conf下的server.xml文件
修改tomcat配置文件server.xml:
注意:以上配置是老版本tomcat的配置,从tomcat8.5开始tomcat更改了配置形式,如上配置估计在tomcat10的时候会完全废弃,在tomcat9.0下测试成功的配置如下:
要修改的配置文件是tomcat的server.xml文件:
第一个Connector是默认就有的,这里只是把8080端口改成了公认的80端口,把8443端口改成了公认的443端口。
第二个Connector默认是注释掉的,搜索8443就能找到,直接把上述第二个Connector粘贴到server.xml中第一个Connector的下面,方便管理。keystoreFile=”/conf/cas.keystore”就是刚才copy的文件的位置,可以自己改到其他位置。keystorePass=”123456”就是刚才创建密钥库时使用的口令。
启动tomcat,在浏览器地址栏输入https://localhost/cas/login,即可得到以下界面:
从上图可以看出,原来的不安全警告没了,还剩下一个静态身份验证的警告,后期我们切换成数据库、动态验证码、ldap等身份验证方式既可。我们同样使用默认用户名/密码:casuser/Mellon登录,一切正常。
四、命令行方式配置https
从上节我们知道,Cas server默认设置的证书为\etc\cas\thekeystore,我们使用Windows环境部署,需要修改它的默认配置,我们使用覆盖重写的方式:
首先我们需要在建立src\main\resources目录,然后将cas.keystore拷贝到resources文件夹下。
在G:\cas-overlay-template-5.1\target\cas\WEB-INF\classes中将application.properties也拷贝到src\main\resources目录中,
调整如下:
server.ssl.enabled=true
server.ssl.keyAlias=cas
server.ssl.key-store=classpath:cas.keystore
server.ssl.key-store-password=123456
server.ssl.key-password=123456重新执行build.cmd run 命令,等待打包完成并显示READY字样,在浏览器输入https://127.0.0.1:8443/cas/login,看到以下界面则说明https启用成功了:
