證書的配置
主要分為兩大步:服務端生成配置證書,應用端導入證書。
SSO服務端
- 生成keystore, 此文件用於tomcat/conf/server.xml中配置及導出證書;
keytool -genkey -keyalg RSA -alias mlongbosso -dname "cn=passport.mlongbo.com" -keystore /home/ndoc/test/cas/mlongbosso.keystore -storepass 123654
說明:指定使用RSA算法,生成別名為mlongbosso的證書,口令為123654,證書的DN為"cn=passport.mlongbo.com" ,這個DN必須同當前主機完整名稱一致!!)
- 導出mlongbosso.crt證書
keytool -export -alias mlongbosso -file /home/ndoc/test/cas/mlongbosso.crt -keystore /home/ndoc/test/cas/mlongbosso.keystore -storepass 123654
(注釋:從mlongbosso.keystore中導出別名為mlongbosso的證書,生成文件mlongbosso.crt) 3. 配置Tomcat的HTTPS服務
keystoreFile屬性值為mlongbosso.keystore文件路徑, keystorePass屬性值為證書存貯口令
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/home/ndoc/test/cas/mlongbosso.keystore"
keystorePass="123654"
/>
應用端
應用端即SSO客戶端.
注釋: Windows下為%JAVA_HOME% , Linux下為$JAVA_HOME
- 將mlongbosso.crt導入到應用服務器所使用的jre的可信任證書倉庫中
keytool -import -alias mlongbosso -file /home/ndoc/test/cas/mlongbosso.crt -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass 123654
- 列出jre可信任證書倉庫中證書名單,驗證導入是否成功,如果導入成功,應該在列表中能找到mlongbosso這個別名
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass 123654
注意:如果此處導入失敗,或者要重新導入,需要先刪除%JAVA_HOME%/jre/lib/security/cacerts文件(刪除前請備份)
keytool -genkey -keyalg RSA -alias mlongbosso -dname "cn=passport.mlongbo.com" -keystore /home/ndoc/test/cas/mlongbosso.keystore -storepass 123654
轉自:
作者:空谷幽蘭
鏈接:http://www.jianshu.com/p/a1fa19d4ec75
來源:簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。