在Weblogic中使用Yale CAS实现单点登陆(SSO)

耶鲁大学开发的单点登录系统称为CAS（Central Authentication Server）被设计成一个独立的Web应用程序(cas.war)。它目前用几个Java Servlet作为实现并且通过一个Https服务器来运行。要使用单点登陆功能的Web应用作为CAS的一个客户端来运行。

由于CAS使用Https协议，所以首先要知道如何在容器中配置SSL。Weblogic的SSL配置相对其它的容器较为复杂，但SSL配置完成后CAS服务器一般都能正常运行了。

CAS的客户端以一个Web应用的Filter运行。当Web应用的某个功能被请求时，Filter就会拦截应用的URL，从而迫使用户到CAS服务器进行登陆。在所有不同的Web应用中，使用同一个CAS服务器进行登陆，即可达到单点登陆之目的。

本文使用Weblogic(版本Weblogic8.1)配置CAS服务器，使用Tomcat（版本Tomcat5.0.30）配置CAS客户端，分别在7002端口及8080端口。下面是在Weblogic中使用Yale CAS实现单点登陆的详细步骤：

1. 安装CAS服务器

1.1. 下载CAS发行包，下载地址：

CAS服务器：http://www.yale.edu/tp/cas/cas-server-2.0.12.zip 或
https://clearinghouse.ja-sig.org/wiki/download/attachments/924/cas-server-2.0.12.zip
CAS客户端：http://www.yale.edu/tp/cas/cas-client-2.0.11.zip 或
https://clearinghouse.ja-sig.org/wiki/download/attachments/827/cas-client-2.0.11.zip

1.2. 将cas-server-2.0.12.zip解压，并将lib/cas.war拷贝到%bea%\user_projects\domains\mydomain\applications下，测试CAS服务器是否发布正常，可以访问http://localhost:7001/cas/login 出现登陆窗口。输入用户名密码（用户名＝密码），出现登陆成功页面说明发布正常。若不能访问可以手工发布再试。

2. 配置Weblogic使用https协议

2.1. Server证书申请

不管是tomcat或weblogic，在配置ssl之前，必须获取证书签发机构对你的server签发的认证证书，步骤如下：

2.1.1. 本地生成证书请求CRS,文件名为serverReq - à

a)keytool -genkey -keystore .\serverstore -keyalg RSA -keysize 512 -validity 3650 -alias server (生成默认秘锁库,密锁长度为512主要是因为weblogic对密锁强度有出口限制)
根据提示回答，注意在一开始问“你的名字”或“DName”的时候，必须填写你服务器所在域名；注意记住密锁库密码和私锁密码

b)keytool -certreq -keystore .\serverstore -alias server -file .\serverReq

2.1.2. 从CA机构获取server证书：

a)打开步骤1中生成的serverReq文件，复制其内容

b)打开https://testca.netca.net/apply_srv/srv_root.asp网站，

先点“安装证书联”，提示下载serverRoot.p7b格式根证书文件

保存后，点“继续“，进入证书申请界面，填写相关信息，并把步骤a 中复制的内容粘贴到最后一栏，特别提醒的是正确“请输入使用该证书的机器的域名”一栏，必须和生成CRS时填写的名字一样。之后，系统会生成你的server证书，并根据提示下载证书保存到本地,文件为：server

2.1.3. 导出p7b格式根证书链。

双击下载后的serverRoot.p7b文件，依次打开：

点导出

分别导出的文件名为root.cer，ca.cer

这样你就有了完整的证书链：root.cer , ca.cer , server.cer

一个密锁库文件:serverstore ，密锁库密码是：*******, 私锁是:**********(千万记好了，后面需要用到)

2.1.4. 导入证书链到密锁库serverstore

a)导入root证书
keytool -import -trustcacerts -keystore serverstore -alias root -file .\root.cer

a)导入ca证书
keytool -import -trustcacerts -keystore serverstore -alias ca -file .\ca.cer

a)导入server证书
keytool -import -keystore serverstore -alias server -file .\server.cer

这样，你的密锁库中就保存了ca的根证书和你的server证书。：）

2.1.5. 导入证书到Weblogic使用的JDK密锁库cacerts中

a)导入root证书
keytool -import -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -alias root -file .\root.cer

a)导入ca证书
keytool -import -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -alias ca -file .\ca.cer

a)导入server证书
keytool -import -keystore $JAVA_HOME/jre/lib/security/cacerts -alias server -file .\server.cer

注意： 密锁库cacerts的初始密码为changeit

2.2. weblogic配置ssl

2.2.1. 配置ssl

打开weblogic控制台，选如图页：keystores & ssl

点chage,然后选custom identity and standard trust,进入keystore配置页：

<!--Element not supported - Type: 9 Name: #document-->

Custom identity key store file name:密锁库所在路径全名

Custom identity key store pass phrase:填写打开密锁库的密码（在步骤一中生成密锁库的密码，忘了吧？）

…………..

Java standar trust key store pass phrase: 填写打开密锁库的密码（同上）

填完后，点continue,进入信任证书别名填写：

Private key alias ：填写server证书别名:server(请参考步骤一中第4步)

Passphrase:别名对应私锁的密码

然后continu,finish.

2.2.2. 使ssl 生效

打开general页，把ssl listen port enabled勾上，并填写ssl监听端口：443

保存后，重启weblogic.

注意，1）如果系统是linux，且ssl端口小于443,必须用root权限帐号启动.

2）如果端口小于1024,必须修改安全文件,放开443端口的操作权限。

最后启动weblogic（linux画面）

Ok,成功。

启动后，打开浏览器，输入: https://域名/应用 如果浏览起没有安装前面的3个证书，会提示需要安装，否则，可以正常浏览，ok。

访问 https://localhost:8443/cas/login ，若成功访问说明SSL配置成功。

3. 配置 CAS客户端

以Tomcat中自带的Servlet examples应用为例，在Web应用中使用配置CAS客户端。

3.1. 在Servlet examples应用里配置CAS客户端，需修改servlets-examples/WEB-INF/web.xml，在web.xml文件中,加入如下Filter配置：

<filter>

<filter-name>CASFilter</filter-name>

<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>

<init-param>

<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>

<param-value>https://localhost:7002/cas/login</param-value>

</init-param>

<init-param>

<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>

<param-value>https://localhost:7002/cas/proxyValidate

</param-value>

</init-param>

<init-param> <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>

<param-value>localhost:8080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CASFilter</filter-name>

<url-pattern>/servlet/*</url-pattern>s

</filter-mapping>

其中，第一，二个localhost都改成CAS服务器域名或主机名（与Server证书中域名相同），第三个改成你servelt example应用域名或主机名。

3.2. 将cas-client-2.0.11.zip解压，把java/lib/casclient.jar拷贝到Tomcat的
webapps/servlets-examples/WEB-INF/lib目录下（如果没有就建一个）

3.3. 在客户端的JVM 里导入信任的SERVER的证书，输入keystore密码时，注意现在的keystore为cacerts，而cacerts的初密码为 changeit，而不是前面keystore-file的密码，所以要是没有改过cacerts密码应该输入changeit.

a)导入root证书
keytool -import -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -alias root -file .\root.cer

a)导入ca证书
keytool -import -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -alias ca -file .\ca.cer

a)导入server证书
keytool -import -keystore $JAVA_HOME/jre/lib/security/cacerts -alias server -file .\server.cer

其中，$JAVA_HOME改成JDK的绝对路径。

4. 测试SSO

启动Weblogic及Tomcat，访问 http://localhost:8080/servlets-examples/ ，随便执行一个servlet，系统会自动跳转到一个验证页面，随便输入一个相同的账号,密码，认证通过之后，就会访问到你点击的servlet了。