How to configure SSL
http://docs.codehaus.org/display/JETTY/How+to+configure+SSL#HowtoconfigureSSL-step3
13.4. 为cas配置SSL
在使用cas的时候,我们要为cas中央认证服务器和子系统都配置上SSL,以此来对他们之间交互的数据进行加密。这里我们将使用JDK中包含的keytool工具生成配置SSL所需的密钥。
13.4.1. 生成密钥
首先生成一个key store。
keytool -genkey -keyalg RSA -dname "cn=localhost,ou=family168,o=www.family168.com,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password
我们会得到一个名为server.jks的文件,它的密码是password,注意cn=localhost 部分,这里必须与cas服务器的域名一致,而且不能使用ip,因为我们是在本地localhost测试cas,所以这里设置的就是 cn=localhost,在实际生产环境中使用时,要将这里配置为cas服务器的实际域名。
导出密钥
keytool -export -trustcacerts -alias server -file server.cer -keystore server.jks -storepass password
将密钥导入JDK的cacerts
keytool -import -trustcacerts -alias server -file server.cer -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass password
注意:此处JAVA_HOME要改为实际路径
这里需要把使用实际JDK的安装路径,我们要把密钥导入到JDK的cacerts中。
我们在ch103/certificates/下放了一个genkey.bat,这个批处理文件中已经包含了上述的所有命令,运行它就可以生成我们所需的密钥。
13.4.2. 为jetty配置SSL
jetty的配置可参考ch103中的pom.xml文件。
<connectors>
<connector implementation="org.mortbay.jetty.security.SslSocketConnector">
<port>9443</port>
<keystore>../certificates/server.jks</keystore>
<password>password</password>
<keyPassword>password</keyPassword>
<truststore>../certificates/server.jks</truststore>
<trustPassword>password</trustPassword>
<wantClientAuth>true</wantClientAuth>
<needClientAuth>false</needClientAuth>
</connector>
</connectors>
<systemProperties>
<systemProperty>
<name>javax.net.ssl.trustStore</name>
<value>../certificates/server.jks</value>
</systemProperty>
<systemProperty>
<name>javax.net.ssl.trustStorePassword</name>
<value>password</value>
</systemProperty>
</systemProperties>
13.4.3. 为tomcat配置SSL
要运行支持SSL的tomcat,把server.jks文件放到tomcat的conf目录下,然后把下面的连接器添加到server.xml文件中。
不同版本tomcat此处配置不同,找到port="8443",去掉注释,补填上证书信息即可
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="${catalina.home}/conf/server.jks"
keystoreType="JKS" keystorePass="password"
truststoreFile="${catalina.home}/conf/server.jks"
truststoreType="JKS" truststorePass="password"
/>
如果你希望客户端没有提供证书的时候SSL链接也能成功,也可以把clientAuth设置成want。
如果你希望客户端也必须提供证书SSL链接才能成功,可以把clientAuth设置成true。
可以同时配置https和http连接
<configuration>
<contextPath>/cas</contextPath>
<connectors>
<connector implementation="org.mortbay.jetty.security.SslSocketConnector">
<port>8888</port>
<keystore>../certificates/server.jks</keystore>
<password>password</password>
<keyPassword>password</keyPassword>
<truststore>../certificates/server.jks</truststore> <!-- check the path,项目根路径下 -->
<trustPassword>password</trustPassword>
<wantClientAuth>true</wantClientAuth>
<needClientAuth>false</needClientAuth>
</connector>
<connector implementation="org.mortbay.jetty.nio.SelectChannelConnector">
<!-- 设置端口8081 -->
<port>8081</port>
</connector>
</connectors>
<systemProperties>
<systemProperty>
<name>javax.net.ssl.trustStore</name>
<value>../certificates/server.jks</value>
</systemProperty>
<systemProperty>
<name>javax.net.ssl.trustStorePassword</name>
<value>password</value>
</systemProperty>
</systemProperties>
</configuration>