SSO单点登录之一:创建证书

在单点登录认证系统中,证书是非常重要的一把钥匙,客户端与服务器之间的交互安全靠的就是证书。本文章介绍的是利用JAVA JDK中自带的keytool证书生成工具来生成证书。

如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证一般都是由VeriSign认证,

中文官方网站:http://www.verisign.com/cn/

------------------------------------------------------------------------------------------------------------------

具体的证书操作步骤大致分为三步:生成证书、导出证书、为客户端的JVM导入证书

前提:计算机上要有JDK,并且在C盘新建文件夹keys

1)生成证书

命令:keytool -genkey -alias javacrazyer -keyalg RSA -keystore c:/keys/javacrazyerkey

 

命令解释:javacrazyer表示我给证书起的别名,以方便后面导出导入证书使用,真正生成的证书文件名是javacrazyerkey

 

要给力,先上图


SSO单点登录之一:创建证书_第1张图片
 上面图片中的重点就是“您的名字和姓氏是什么?”这一项,我这里写的是javacrazyer.sso.com,实际上这个域名是我为了方便操作而写的,真实情况是不存在这个域名。我是在C:\Windows\System32\drivers\etc\hosts,添加内容: 127.0.0.1 sso.wsria.com

 

 

这样在访问sso.wsria.com的时候其实是访问的127.0.0.1也就是本机

 

 

注意:这一步中输入的域名不要是IP地址

 

 

2)导出证书

命令:keytool -export -file c:/keys/javacrazyer.crt -alias javacrazyer -keystore c:/keys/javacrazyerkey

命令解释:这里表示将第一步生成的证书文件导出成真正的证书以便以后为JVM导入证书使用

给力上图


这里输入的密码是第一步创建证书时设定的密码

这时我们看看c:/keys下的文件,又多了个crt文件,也就是真正导出的证书


SSO单点登录之一:创建证书_第2张图片

 

3)为客户端JVM导入证书【这一点非常重要】

命令:keytool -import -keystore "C:\Program Files\Java\jdk1.6.0_20\jre\lib\security\cacerts" -file "c:/keys/javacrazyer.crt" -alias javacrazyer

命令解释:将第二步生成的真正的证书文件导入到JDK中的证书认证文件里,要记住之所以我说是客户端JVM,关键是将来如果你在MyEclipse中用到tomcat,而tomcat的JDK正好是这个"C:\Program Files\Java\jdk1.6.0_20",那么这样的话你访问一个部署在TOMCAT上的WEB程序就是访问客户端,所以为了防止将来不出差错,一个是关键选好这个JDK导入证书,另一个就是MyEclipse中tomcat的JDK要选择同一个JDK


SSO单点登录之一:创建证书_第3张图片

这里输入的密码不是第一步中设定的密码,而是默认密码:changeit

 

再一次强调:之所以反复说本步骤重要是由于将来在访问SSO程序的WEB客户端时可能会出现这样一个错误

 

 

请求https错误: unable to find valid certification path to requested target

 

 

为了避免这个错误所以本步骤一定确保正确完成,确保完成的标准是在第4步

 

4)应用证书到Web服务器-Tomcat

这一步实际上就是说要开启tomcat的SSL((Secure Sockets Layer 安全套接),也即是开启https加密协议,为什么加密?安全呗,不然中国工商银行网站进行网上银行账户操作时用https干嘛


所以设计安全性能要求非常高的网站系统必须使用https加密协议

 

言归正传,准备好一个干净的tomcat,本教程使用的apache-tomcat-6.0.29

打开tomcat目录的conf/server.xml文件,开启83和87行的注释代码,并设置keystoreFile、keystorePass修改结果如下:

 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" 
               keystoreFile="c:/keys/javacrazyerkey"
               keystorePass="cheney"
    />

参数解释
keystoreFile:在第一步创建的key存放位置 
keystorePass:创建证书时的密码 

好了,到此Tomcat的SSL启用完成,现在你可以启动tomcat试一下了,例如本教程输入地址:https://javacrazyer.sso.com:8443/
打开的是:

SSO单点登录之一:创建证书_第4张图片
 我们要做的就是点击“继续浏览此网站(不推荐)。 ”,现在进入Tomcat目录了吧,如果是那么你又向成功迈进了一步。

SSO单点登录之一:创建证书_第5张图片
 

OK, 下一篇文章要配置CAS服务器了



感谢 咖啡兔的SSO文章

你可能感兴趣的:(jvm,jdk,tomcat,MyEclipse,SSO)