耶鲁大学CAS单点登录SSO教程：从证书生成到实战部署

本文是一份关于使用CAS（Central Authentication Service）实现单点登录（Single Sign-On, SSO）的经典教程。CAS是由耶鲁大学开发的开源服务，用于提供统一的身份认证解决方案，使得用户只需在一个系统中进行身份验证，便能在多个信任的系统间无感知地自动登录。本文主要针对的环境是基于Tomcat 7.2和JDK 6，使用的CAS服务器版本为cas-server-3.4.8-release，而CAS客户端则采用cas-client-3.2.1-release。 文章首先强调了证书在SSO中的关键作用，它是服务器和客户端之间安全通信的保障。由于这是演示教程，作者采用了JDK自带的keytool工具来生成和管理证书。具体步骤如下： 1. 使用keytool命令行工具生成证书，例如`keytool -genkey-alias smalllove -keyalg RSA -keystore D:/keys/smallkey`，这里生成了一个名为"smalllove"的证书，建议在创建证书时使用有意义的域名，而不是IP地址，并确保可以在hosts文件中映射为虚拟域名。 2. 接着，导出证书到一个文件，使用`keytool -export-file -keystore D:/keys/smallkey -alias smalllove -file D:/keys/small.crt`，并提示输入密码，即上一步设置的密钥。 3. 将生成的证书导入客户端JDK的安全存储库，通过`keytool -import-keystore -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove`。在此过程中，可能会遇到`java.io.IOException: Keystore was tampered with, or password was incorrect`这样的错误，解决方法是确认输入的密码正确，或者检查keystore是否被意外修改。 文章后续内容可能还会涉及如何配置CAS服务器以支持SSO功能，包括设置Ticket-granting ticket（TGT）、service ticket（ST）以及服务票有效期等。同时，会讲解如何在客户端应用中集成CAS，通过HTTP协议与CAS服务器交互，实现用户在初次登录后无需再次验证即可访问信任的其他系统。 此外，教程还会涉及CAS的配置文件管理、认证流程（Authentication Lifecycle）的理解，以及处理可能出现的错误和异常。对于更深入的实现，可能还会探讨安全策略和审计机制，以确保单点登录系统的安全性。 这篇教程将帮助读者理解并实施CAS单点登录系统，提供了一个全面且实用的开发指南。