CAS单点登录之生成证书

创建证书

证书是单点登录认证系统中很重要的一把钥匙，客户端于服务器的交互安全靠的就是证书；由于是个人学习测试所以就直接用JDK自带的keytool工具生成证书；如果以后真正在产品环境中使用肯定要去证书提供商去购买，证书认证一般都是由VeriSign认证，中文官方网站：http://www.verisign.com/cn/

用JDK自带的keytool工具生成证书：

keytool -genkey -alias cas -keyalg RSA -keystore e:/keys/cas

根据提示信息输入相关数据回车即可（这里注意要记住创建时的密码）。

3、导出证书

keytool -export -file e:/keys/cas.crt -alias cas -keystore e:/keys/cas

如果提示：

keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect

那么请输入密码：changeit

至此导出证书完成，可以分发给应用的JDK使用了。

4、为客户端的JVM导入证书

keytool -import -keystore \"C:\\Program Files\\Java\\jdk1.8.0_101\\jre\\lib\\security\\cacerts\" -file e:/keys/cas.crt -alias cas

同第3步一样，如果提示输入密码，请输入changeit，至此证书的创建、导出、导入到客户端JVM都已完成，下面开始使用证书到Web服务器中，这里我使用的是tomcat7服务器。

5、应用证书到web服务器

打开tomcat目录的conf/server. 文件，设置如下：

<Connector port=\"8443\" protocol=\"org.apache.coyote.http11.Http11Protocol\"
               maxThreads=\"150\" SSLEnabled=\"true\" scheme=\"https\" secure=\"true\"
               clientAuth=\"false\" sslProtocol=\"TLS\" keystoreFile=\"e:/keys/cas\"  
               keystorePass=\"111111\"/>

参数说明：

• keystoreFile：在第一步创建的key存放位置
• keystorePass：创建证书时的密码

6、启动tomcat服务器

将第1步下载好的war包放到tomcat的webapp目录下，启动tomcat，访问https://localhost:8443/cas/login页面，输入casuser/Mellon可以成功登录表示服务器已经搭建完成。

查看配置文件deployerConfigContext. 可以获取默认的用户名和密码信息，后续会详细说明该配置文件。