Cas证书生成与Tomcat SSL配置教程

本文档主要介绍了如何在CAS (Central Authentication Service) 系统中创建、导入证书以及配置Tomcat以支持SSL服务，确保安全的单点登录(Single Sign-On, SSO) 功能正常运行。首先，你需要确认CAS服务器所在的主机的域名，例如，如果CAS部署在IP地址10.36.5.56上，可以将该服务器称为56server。 1. 创建证书： 在Windows环境下，使用Java的keytool工具来创建证书。首先，需要进入Java JDK的bin目录，例如`D:\ProgramFiles\Java\jdk1.7.0_01\bin`。然后，运行`keytool -genkey -alias "56server" -keyalg RSA -keystore "C:\gevinme.keystore" -validity 360`。在这个过程中，系统会提示输入一系列信息，如证书的别名、密钥算法、存储库路径以及有效期。由于初始提示显示`keytool error: java.lang.Exception: 密钥库文件存在，但为空`，这表明`C:\gevinme.keystore`可能为空或者权限问题，需要手动创建或确保该文件存在并有写入权限。 2. 导入证书： 如果需要为其他服务，如Tomcat导入证书，可以使用相同的keytool命令，只是将`-alias`参数改为所需的别名，例如`keytool -import -alias "tomcat" -keystore "C:\gevinme.keystore"`。然后按照提示输入相应的信息，包括证书内容。 3. 配置Tomcat SSL： 在Tomcat中启用SSL，通常需要在`conf/server.xml`文件中进行配置。这部分涉及修改`Connector`元素，添加`<scheme>`、`<secure>`标签，指定监听端口和SSL相关属性，如keystore路径、alias、密码等。确保这些配置与你之前创建的证书对应。 4. 验证配置： 配置完成后，尝试通过HTTPS访问CAS，使用创建时设置的域名，如`https://56server:8443/cas`。如果使用IP地址，尽管能访问，但不会正确地实现SSO。只有使用正确的域名，CAS的SSO功能才会生效。 本文档提供了一个详细的指南，涵盖了从创建CAS证书到配置Tomcat以支持SSL服务的整个过程，强调了使用域名而非IP地址的重要性。这对于任何希望实现安全SSO的CAS用户来说，都是至关重要的实践步骤。