一、Tomcat 的 SSL的配置

1.生成server key

以命令方式換到目錄%TOMCAT_HOME%，在command命令行輸入如下命令：

Keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 3600

用戶名輸入域名，如localhost(開發(fā)或測試用)或hostname.domainname(用戶擁有的域名),其它全部以Enter跳過，最后確認(rèn)，此時會在%Tomcat_home%下生成server.keystore文件。

注：參數(shù)-validity指證書的有效期（天），缺省有效期很短，只有90天。

2.將證書導(dǎo)入的JDK的證書信任庫中

這步對于Tomcat的SSL配置不是必須，但對于CAS SSO是必須的，否則會出現(xiàn)如下錯誤：

Edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate PRoxyTicketValidate.

導(dǎo)入過程分2步，第一步是導(dǎo)出證書，第二步是導(dǎo)入到證書信任庫，命令如下：

Keytool -export -trustcacerts -alias tomcat_key -file server.cer -keystore server.keystore -storepass changeit

Keytool -import -trustcacerts -alias  tomcat_key -file server.cer -keystore C:/”Program Files”/java/jdk1.7.0_01/jre/lib/security/cacerts -storepass changeit

如果有提示，輸入Y就可以了。

其它有用keytool命令（列出信任證書庫中所有已有證書，刪除庫中某個證書）:

keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts >t.txt

keytool -delete -trustcacerts -alias tomcat_key -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

3.配置Tomcat

在Tomcat的server.xml配置文件中加入：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 

           port="8443" minSpareThreads="5" maxSpareThreads="75" 

           enableLookups="true" disableUploadTimeout="true"   

           acceptCount="100"  maxThreads="200" 

           scheme="https" secure="true" SSLEnabled="true" 

           clientAuth="false" sslProtocol="TLS" 

           keystoreFile="C:/Program Files/Apache Software Foundation/Tomcat 7.0/server.keystore"

           truststoreFile="C:/Program Files/Java/jdk1.7.0_01/jre/lib/security/cacerts"

           keystorePass="changeit"/>

二、部署CAS Server到Tomcat

部署CAS Server的步驟如下：

1. 到CAS網(wǎng)站下載CAS Server。

2. 解壓壓縮文件，在解壓后的文件夾內(nèi)找到/modules/ cas-server-webapp-3.5.2.war，將cas-server-webapp-3.5.2.war復(fù)制到%Tomcat_Home%/webapps下并改名為cas.war.

3. 啟動Tomcat，測試https://localhost:8443/cas/login看是否訪問正常。

4. 修改配置文件deployerConfigContext.xml。（可選）

CAS Server默認(rèn)登陸驗(yàn)證方式是SimpleTestUsernamePasswordAuthenticationHandler，也就是用戶名和密碼一致都可以登陸；但我們通常需要從數(shù)據(jù)庫中取出用戶名和密碼進(jìn)行驗(yàn)證，所以我們需要修改deployerConfigContext.xml，配置我們自己的服務(wù)認(rèn)證方式：

(1) 在deployerConfigContext.xml添加數(shù)據(jù)源dataSource和密碼加密器passWordEncoder配置。

<!-- 數(shù)據(jù)庫連接信息 -->

<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">

    <property name="driverClassName"><value>com.MySQL.jdbc.Driver</value></property>

    <property name="url"><value>jdbc:mysql://192.168.0.210:3306/cas_demo</value></property>

    <property name="username"><value>root</value></property>

    <property name="password"><value>root123</value></property>

</bean>

<!-- 密碼加密器 -->

<bean id="md5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">

     <constructor-arg index="0"><value>MD5</value></constructor-arg>

</bean>

(2) 注釋掉SimpleTestUsernamePasswordAuthenticationHandler，添加QueryDatabaseAuthenticationHandler：

<!-- CAS Server從數(shù)據(jù)庫中獲取用戶信息進(jìn)行認(rèn)證 -->

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">

<property name="dataSource" ref="dataSource"></property>

<property name="sql" value="select password from sys_user_info where username=?"></property>

             <property name="passwordEncoder" ref="MD5PasswordEncoder"></property>

</bean>

(3)  添加cas-server-support-jdbc-3.5.2.jar、mysql-connector-java-5.1.25.jar、 commons-pool-1.3.jar、commons-dbcp-1.2.2.jar等jar包到WEB-INF/lib。

三、部署CAS Client到應(yīng)用

本文使用的CAS Client版本為3.3.3，下載地址：http://downloads.jasig.org/cas-clients/ 。

部署CAS Client的步驟如下：

<dependency>

<groupId>org.jasig.cas.client</groupId>

<artifactId>cas-client-core</artifactId>

<version>3.3.3</version>

</dependency>

否則，下載cas-client-core-3.3.3.jar，并將其放入項(xiàng)目的WEB-INF/lib。

2.  配置web.xml

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"

    id="WebApp_ID" version="3.0">

  <display-name>CAS CLIENT DEMO</display-name>

   <!-- 用于單點(diǎn)退出，該過濾器用于實(shí)現(xiàn)單點(diǎn)登出功能，可選配置 -->

    <listener>

        <listener-class>

org.jasig.cas.client.session.SingleSignOutHttpSessionListener

</listener-class>

    </listener>

    <!-- 該過濾器用于實(shí)現(xiàn)單點(diǎn)登出功能，可選配置。 -->

    <filter>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 該過濾器負(fù)責(zé)用戶的認(rèn)證工作，必須啟用它 -->

    <filter>

        <filter-name>CASFilter</filter-name>

        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

        <init-param>

            <param-name>casServerLoginUrl</param-name>

            <param-value>https://localhost:8443/cas/login</param-value>

        </init-param>

        <!-- 這里的serverName是服務(wù)端的ip -->

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://localhost:8080</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CASFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 該過濾器負(fù)責(zé)對Ticket的校驗(yàn)工作，必須啟用它 -->

    <filter>

        <filter-name>CAS Validation Filter</filter-name>

        <filter-class>

            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

        </filter-class>

        <init-param>

            <param-name>casServerUrlPrefix</param-name>

            <param-value>https://localhost:8443/cas</param-value>

        </init-param>

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://localhost:8080</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CAS Validation Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 該過濾器負(fù)責(zé)實(shí)現(xiàn)HttpServletRequest請求的包裹， 比如允許開發(fā)者通過

HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名，可選配置。 -->

    <filter>

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

        <filter-class>

            org.jasig.cas.client.util.HttpServletRequestWrapperFilter

        </filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 該過濾器負(fù)責(zé)把ticket驗(yàn)證后產(chǎn)生的Assertion放入ThreadLocal中，以便 不能訪問web層的資源使用。該過濾器可以使得開發(fā)者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名。比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->

    <filter>

        <filter-name>CAS Assertion Thread Local Filter</filter-name>

        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS Assertion Thread Local Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- ======================== 單點(diǎn)登錄結(jié)束 ======================== -->

    <welcome-file-list>

        <welcome-file>index.jsp</welcome-file>

    </welcome-file-list>

</web-app>