文档章节

安装 CAS 服务器

黄勇
 黄勇
发布于 2014/02/09 23:09
字数 1210
阅读 18094
收藏 197

1 CAS 简介

CAS 全称为 Central Authentication Service(中央认证服务),它是耶鲁大学发起的一个开源项目,为 Web 应用系统提供一种可靠的单点登录方式,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目,它具有以下特点:

  • CAS 是一款开源的企业级单点登录解决方案,为应用系统提供中央认证服务。

  • CAS 服务器是独立部署的 Web 应用,可运行在主流的 Web 容器上,例如:Tomcat、Jetty 等。

  • CAS 客户端支持许多不同语言开发的应用系统,包括:Java、.Net、PHP、Apache、Perl、Ruby 等。

2 下载 CAS 服务器

可以从 CAS 官网:http://www.jasig.org/cas 下载,这可能需要翻墙,如果你不太愿意翻墙的话,可以访问这个地址:http://downloads.jasig.org/cas/同样可以下载。

  1. 下载 CAS 服务器最新版:cas-server-3.5.2-release.zip

  2. 解压程序包

  3. 复制 cas-server-3.5.2/modules/cas-server-webapp-3.5.2.war 到 Tomcat 的 webapps 目录下,并重命名为 ROOT.war。

在启动 Tomcat 之前,还需要做两件事情:

  1. 创建 CAS 密钥库

  2. 使 Tomcat 支持 HTTPS

3 创建密钥库

使用 JDK 的 keytool 命令生成密钥库(keystore),其实就是一份 keystore 文件,keystore 必须通过密码才能访问。

keystore 里包含了多个密钥对(keypair),每个 keypair 都有一个别名(alias),alias 必须保证唯一性,而且都有一个密码,有此可知,keystore 与 keypair 都有自己的密码。

JDK 也有自己的 keystore,位于 %JAVA_HOME%\jre\lib\security\cacerts,其密码就是 changeit,当然也可以通过 keytool 命令来修改。

我们首先生成 keypair 及其存放 keypair 的 keystore,然后从 keystore 里导出证书,最后将证书导入 JDK 的 keystore 里,Tomcat 在运行时就会自动读取 JDK 的 keystore,以确保所部署的应用可以享受 HTTPS 协议(SSL 通道)带来的安全性。

3.1 生成 keypair

使用以下命令生成密钥对:

keytool -genkeypair -alias cas -keyalg RSA -storepass changeit

默认情况下,生成的 keystore 就是用户目录下的 .keystore 文件。对于 Win8 而言,默认的用户目录为 C:\Users\ 用户名。

以上命令执行完毕后,会在用户目录下生成一份 .keystore 文件(如果以前不存在该文件的话),其中包括一个 keypair。

注意:

  1. 为了简化操作,建议 keystore 与 keypair 的密码相同,且均为 changeit。

  2. 提示“您的名字与姓氏是什么?”,这里需要输入一个域名,例如:www.xxx.com,本例中输入 cas 需要在 hosts 文件中做如下映射:

    127.0.0.1 cas

还有几条常用的 keytool 命令:

查看 keypair:

keytool -list -storepass changeit

删除 keypair:

keytool -delete -alias <别名> -storepass changeit

3.2 从 keystore 中导出证书

使用以下命令导出证书:

keytool -exportcert -alias cas -file cas.crt -storepass changeit

生成的证书文件为 cas.crt,位于运行该命令所在的当前目录下。

可双击该证书文件,将该证书安装到“受信任的根证书颁发机构”中,这样在浏览器中使用 HTTPS 协议访问时才不会出现一个红色的叉叉。

3.3 导入证书到 JVM 中

使用以下命令导入证书到 JVM 的 keystore 中:

keytool -importcert -alias cas -file cas.crt -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit -noprompt

默认情况下,Tomcat 将读取 JVM 中的密钥库,而不是用户目录下的 .keystore 密钥库,当然也可以配置 Tomcat 使其读取指定的密钥库。

注意:

  1. 在执行以上命令前,必须需要保证 cacerts 文件对当前用户有写权限。

  2. JDK 的 keystore 的密码必须为 changeit,这样 Tomcat 无需做任何配置就能访问。

4 使 Tomcat 支持 HTTPS

打开 Tomcat 的 conf/server.xml 文件。

修改以下配置:

...
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="off" />
...

将以上配置中的 SSLEngine 改为 off,默认为 on。

...
<!--<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="18443" />-->
...
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" />
...
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="18443" />-->
...

禁用 HTTP 8080 端口,开启 HTTPS 8443 端口,禁用 AJP 8009 端口,以确保只能通过 HTTPS 协议访问 CAS 服务器。

若将 HTTPS 端口号配置为 443,则可以使用无端口方式发送 HTTPS 请求。

5 运行 CAS 服务器

启动部署了 CAS 服务器的 Tomcat,并使用以下地址访问 CAS 登录页面:

https://cas:8443/login

一定要使用域名 cas 来访问,实际上 cas 指向了 127.0.0.1(需要在本机的 hosts 中进行配置)。

CAS 默认采用了最简单的认证,即用户名与密码必须有,但两者必须相同,也可对 CAS 做个性化认证配置。

可以使用如下 URL 注销 CAS:

https://cas:8443/logout


如何应用 CAS 实现单点登录?如何定制 CAS 的认证方式?如何将 CAS 集成到 Smart 框架中?下回分解!

© 著作权归作者所有

共有 人打赏支持
黄勇

黄勇

粉丝 6216
博文 121
码字总数 216155
作品 1
浦东
CTO(技术副总裁)
加载中

评论(41)

小杨阿哥哥
小杨阿哥哥
你好,我使用jetty配置cas sso ,启动完成后无法通过https打开,启动过程也没有出现错误,只有几个warning 是说WARN [org.jasig.cas.util.TGCCipherExecutor] - <Secret key for encryption is not defined. CAS will attempt to auto-generate the encryption key>,[STDOUT] 2016-09-20 11:09:28,565 WARN [org.jasig.cas.util.TGCCipherExecutor] - <Generated encryption key 3xtLokzIVMEqiJl9pOtUb7Bfj2dQQtCT3qS_cC6aToo of size 256. The generated key MUST be added to CAS settings.>
这种情况是什么意思?怎么才能用https打开cas的页面
有资本再款
有资本再款
勇哥,您好请问cas现在有没有在你公司应用?
hl174
hl174
初学者看到这篇博文 感觉不错 弱弱问下 CAS客户端和一般的web端 指的是一个么? 不是专门针对有cas服务端和客户端吧
丶浅
你好,我按照你写的方法配置,前面的都成功了,启动tomcat也没报任何错,但是输入https://cas:8443/login的时候却是404无法找到该网页,能请你指教下吗
小沫
小沫

引用来自“nangua_99”的评论

文章不错,赞一个,但是博主,怎么去掉证书切换为http,是不是能详细讲讲啊?13
之前看到一些源代码。 他好像是在jar包写的。 里面有包括 http开头 和 https开头的。 可以看看。 记得好像是在 Filter里面有的。 可以看下。
Andyfoo
Andyfoo

引用来自“人头马没面”的评论

引用来自“屁屁果”的评论

引用来自“人头马没面”的评论

引用来自“Andyfoo”的评论

引用来自“黄勇”的评论

引用来自“Andyfoo”的评论

垃圾cas

请教为何觉得 CAS 不好呢?

个性定制太复杂,程序太臃肿。服务器和客户端负载均衡不理想。

嗯 很有道理 我现在也正要用 确实如你所言 是否有替代方案?请教

http://my.oschina.net/baobao/blog/199796

嗯 受教了 session共享和sso不能等同就在于跨域问题 iframe的解决方式不太自然 个人倾向于 @andyfoo 描述的方式 但是他的socket如何解决高可用性 还没考虑清楚 十分感谢回复

1.client连接多个server,client负责检测连接状态和分发请求。server的数据都保存在key-value数据库中,server各自不需要互联。
2.登录流程和cas相似,客户端页面未登录跳转到server登录页面,server跳转返回到客户端url并传tid,客户端取到tid验证并解密通过socket发送到server获取登录信息,客户端收到信息后
按tid保存在map中。
3.退出调用server,server广播退出消息给客户端,客户端删除map保存的tid,用户再访问客户端页面时判断map没有tid则跳转到登录页面.
人头马没面
人头马没面

引用来自“屁屁果”的评论

引用来自“人头马没面”的评论

引用来自“Andyfoo”的评论

引用来自“黄勇”的评论

引用来自“Andyfoo”的评论

垃圾cas

请教为何觉得 CAS 不好呢?

个性定制太复杂,程序太臃肿。服务器和客户端负载均衡不理想。

嗯 很有道理 我现在也正要用 确实如你所言 是否有替代方案?请教

http://my.oschina.net/baobao/blog/199796

嗯 受教了 session共享和sso不能等同就在于跨域问题 iframe的解决方式不太自然 个人倾向于 @andyfoo 描述的方式 但是他的socket如何解决高可用性 还没考虑清楚 十分感谢回复
光石头
光石头

引用来自“黄勇”的评论

请问有没有比 CAS 更好的开源 SSO 服务器呢?@Gelopa @Andyfoo

http://my.oschina.net/baobao/blog/199796
光石头
光石头

引用来自“人头马没面”的评论

引用来自“Andyfoo”的评论

引用来自“黄勇”的评论

引用来自“Andyfoo”的评论

垃圾cas

请教为何觉得 CAS 不好呢?

个性定制太复杂,程序太臃肿。服务器和客户端负载均衡不理想。

嗯 很有道理 我现在也正要用 确实如你所言 是否有替代方案?请教

http://my.oschina.net/baobao/blog/199796
黄勇
黄勇

引用来自“maosi”的评论

在tomcat.0.39中出现问题,提示“java.lang.Exception: No Certificate file specified or invalid file format”。
网上说是由于tomcat6的新版本默认启用了APR导致的,最后我把.keystore放到tomcat根目录,配置在<Connector port="8443"...>标签中增加 keystoreFile=".keystore" keystorePass="changeit"问题得以解决

Tomcat 6 有没有一个 AprLifecycleListener?将其注释掉看看问题能否行得通?
Liferay6.1学习笔记(四)--整合CAS实现单点登录

转载:http://www.ibm.com/developerworks/cn/opensource/os-cn-liferay-cas/index.html Liferay 门户介绍 Liferay 是一个基于 J2EE 架构的完整的门户解决方案,使用了 EJB、JMS 等技术, 前...

Michaelyn
2014/01/16
0
0
Exchange Server 2010角色部署

物理的Exchange角色服务器,若以性能及架构扩展性来考虑,应以各自独立的服务器配置不同的Exchange角色,各司其职。但若是小型企业或考虑成本的话,则应以合并角色为主;而中型企业则往往需在...

betterit360
2016/08/24
0
0
搭建CAS单点登录服务器

  最近公司的一个项目需要用到单点登录的功能,之前对单点登录了解得不多。于是网上找了下单点登录的解决方案,发现CAS是个不错的解决方案。于是搭个环境测试了一下。这里记录下测试的详细...

无声胜有声
2015/11/10
0
0
ruby - 单点服务器, ruby cas server

ruby - 单点服务器, ruby cas server 申思维的站点/Siwei's site2017-11-221 阅读 cas服务器RubySERVER 已经放github上了: https://github.com/sg552/rubycas-server 点赞 cas服务器RubySER......

申思维的站点/Siwei's site
2017/11/22
0
0
Exchange2010高可用设计

Exchange Server 2010高可用设计 Exchange Server 2010是一种消息传递平台,提供了电子邮件、日程安排以及用于自定义协作和消息服务应用程序的工具。 1、Exchange Server 2010服务角色 Exch...

辉大太狼
07/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

新工作与老项目

新的工作不知不觉的干了一个多月了。怎么说呢,跟想象中的差别不少,本来想的能进来跟大公司的同事能有很多交流,能在团队中跟大牛学习更快。结果公司的这个项目上只有两个程序员,项目是十年...

zypy333
7分钟前
0
0
mysql 在windows的安装

mysql 在windows的安装。 mysql64位的server的下载地址是: https://dev.mysql.com/downloads/mysql/ 使用的是5.7版本。 下载安装包,解压至D:\mysql\mysql-5.7.23-winx64\ 在D:\mysql\mysq...

lxzh504
19分钟前
1
0
云技术、大数据(hadoop)入门常见问题回答

当我们学习一门新技术的时候,我们总是产生各种各样的问题,这些问题整理出来,包括该 1.如何学习hadoop? 2.hadoop常见问题? 3.还有hbase、hive安装使用等? 你知道搭建hadoop平台需要些什...

董黎明
19分钟前
1
0
小程序自定义底部tab

场景 1.tabBar是在内页而非首页,这时就不得不自定义一个tabBar了 2.自定义风格 3.子页数量超过5个,得到更多了tab 4.改变点击tab默认事件,比如出登录界面,或者弹出上拉子菜单等 步骤 1.照...

萤火的萤火
25分钟前
1
0
shell炫技

1.为脚本添加“--help” #!/bin/shif [ ${#@} -ne 0 ] && [ "${@#"--help"}" = "" ]; then printf -- '...help...\n'; exit 0;fi; 2.输出字体添加颜色 https://misc.flogisoft.com......

HJCui
25分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部