JA-SIG（CAS）学习笔记1

技术背景知识：
  JA-SIG CAS服务环境搭建，请参考 ：JA-SIG（CAS）学习笔记1 
  JA-SIG CAS业务架构介绍，请参考 ：JA-SIG（CAS）学习笔记2   HTTPS所涉及的Java安全证书知识，请参考 ：Java  keytool 安全证书学习笔记

实验背景：

系统环境： Windows XP  |  SUN JDK1.6U4 | Tomcat6.0.14 | CAS Server 3.1.1 + CAS Client 2.1.1

主机完整名称： Linly

浏览器： FireFox V2.0.0.11

实验步骤：

STEP 1，搭建Java Web服务器环境

安装 JDK + Tomcat 6.0.14 ， HTTP端口8080 ， HTTPS端口8443

JAVA_HOME = D:\Java\jdk1.6.0_04

CATALINA_HOME = D:\Java\apache-tomcat-6.0.14

安装完毕，启动Tomcat ，在浏览器上 测试 http://Linly:8080/

出现上述界面，表明系统STEP1成功搭建。

STEP 2，使用Java Keytool工具为系统生成HTTPS证书，并为系统注册

（Java Keytool相关资料可参阅：Java keytool 安全证书学习笔记）， 在DOS窗体运行以下指令（建议编写一个BAT批处理文件执行）

cls

rem please set the env JAVA_HOME before run this bat file

rem delete alia tomcat if it is existed

keytool -delete -alias tomcatsso -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

keytool -delete -alias tomcatsso -storepass changeit

（注释： 清除系统中可能存在的名字为tomcatsso 的同名证书）

rem list all alias in the cacerts

keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

（注释： 列出系统证书仓库中存在证书名称列表）

rem generator a key

keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=linly" -storepass changeit

（注释：指定使用RSA算法，生成别名为tomcatsso的证书，存贮口令为changeit，证书的DN为"cn=linly" ，这个DN必须同当前主机完整名称一致哦，切记！！！）rem export the key

keytool -export -alias tomcatsso -file %java_home%/jre/lib/security/tomcatsso.crt -storepass changeit

（注释： 从keystore中导出别名为tomcatsso的证书，生成文件tomcatsso.crt）rem import into trust cacerts

keytool -import -alias tomcatsso -file %java_home%/jre/lib/security/tomcatsso.crt -keystore %java_home%/jre/lib/security/cacerts -storepass changeit

（注释：将tomcatsso.crt导入jre的可信任证书仓库。注意，安装JDK是有两个jre目录，一个在jdk底下，一个是独立的jre，这里的目录必须同Tomcat使用的jre目录一致，否则后面Tomcat的HTTPS通讯就找不到证书了）

rem list all alias in the cacerts

keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

（注释：列出jre可信任证书仓库中证书名单，验证先前的导入是否成功，如果导入成功，应该在列表中能找到tomcatsso这个别名，如下图）[/quote]

同时，在D:\Java\jdk1.6.0_04\jre\lib\security目录下能找到“tomcatsso.crt”这个文件；在C:\Documents and Settings\Linly目录下能找到“.keystore”文件。

满足上述条件则STEP2部署完成。

STEP 3，配置Tomcat的HTTPS服务

编辑D:\Java\apache-tomcat-6.0.14\conf下的server.xml文件，在connector的配置位置添加以下的配置：

引用

<Connector protocol="org.apache.coyote.http11.Http11Protocol" 
 
           port="8443" minSpareThreads="5" maxSpareThreads="75"  
           enableLookups="true" disableUploadTimeout="true"  
           acceptCount="100"  maxThreads="200"  
           scheme="https" secure="true" SSLEnabled="true"  
           keystoreFile="C:/Documents and Settings/new/.keystore" keystorePass="changeit"  
           truststoreFile="D:/Java/jdk1.6.0_04/jre/lib/security/cacerts"  
           clientAuth="false" sslProtocol="TLS"/>

启动Tomcat，访问https://linly:8443/，出现以下界面说明HTTPS配置生效：

STEP 4，为HelloWorldExample程序配置CAS过滤器

访问http://linly:8080/examples/servlets/servlet/HelloWorldExample，出现以下界面说明应用正常启动：

编辑D:\Java\apache-tomcat-6.0.14\webapps\examples\WEB-INF下的web.xml文件，添加如下信息：

引用

<filter> 
 
<filter-name>CAS Filter</filter-name>  
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>  
<init-param>  
  <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>  
  <param-value>https://Linly:8443/cas/login</param-value>  
</init-param>  
<init-param>  
  <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>  
  <param-value>https://Linly:8443/cas/serviceValidate</param-value>  
</init-param>  
<init-param>  
  <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>  
  <param-value>Linly:8080</param-value>  
</init-param>  
</filter>

引用

<filter-mapping>  
<filter-name>CAS Filter</filter-name>  
<url-pattern>/servlets/servlet/HelloWorldExample</url-pattern>  
</filter-mapping>

拷贝casclient.jar文件到目录D:\Java\apache-tomcat-6.0.14\webapps\examples\WEB-INF\lib下。

由于我们使用的是Tomcat6.0.14，因此，还要拷贝commons-logging-1.0.4.jar到该目录下。

STEP 5，部署JA-SIG（CAS）服务器

拷贝cas.war到D:\Java\apache-tomcat-6.0.14\webapps目录下。启动Tomcat，访问网址http://linly:8080/cas/index.jsp,出现以下画面：

输入用户名/密码 ：linly/linly（任意两个相同的字窜），点击“登录”，出现以下画面：

表示CAS服务器配置运行成功。

STEP 6，测试JA-SIG（CAS）部署结果

启动Tomcat。

测试使用浏览器登陆以下网址：http://linly:8080/examples/servlets/servlet/HelloWorldExample，页面将弹出以下认证框，点击“确定”

页面将重定向到JA-SIG的SSO登录认证页面

输入用户名=密码，如：linly/linly，则通过验证，进入应用的入口界面，如下：

细心的用户将发现，此时的URL不再是：

http://linly:8080/examples/servlets/servlet/HelloWorldExample， URL的尾端带上了一个ticket参数：

http://linly:8080/examples/servlets/servlet/HelloWorldExample?ticket=ST-2-qTcfDrdFb0bWndWgaqZD 到此，JA-SIG（CAS）服务器的初步SSO部署宣告成功。