Cas使用StartSSL证书实现统一认证服务.pdf

为了实现统一认证服务，CAS（Central Authentication Service）可以与StartSSL结合使用。StartSSL是一家提供免费SSL证书的认证机构，目前全球唯一免费且被大多数浏览器信任的SSL证书颁发机构。虽然StartSSL免费证书的有效期仅为一个月，对于开发调试来说足够用，但如果要将应用上线，建议还是购买收费的证书以保证长期的安全和稳定性。 需要从StartSSL官网进行个人证书的登录申请。在官网注册后，需要填写个人基本信息，并通过邮箱验证。完成个人验证后，可以继续进行域名验证。这涉及到对指定域名的所有权证明，通过验证后即可申请生成域名的SSL证书。 在生成SSL证书的过程中，需要生成私钥，并为其设定一个密码。密码的长度应至少为10位，最多不超过32位。私钥文件通常被保存为freehao123.key这样的名字，并在之后继续操作。在输入要绑定的二级域名，并提交申请后，需要等待StartSSL的审核。审核通过后，通过ToolBox工具可以下载到证书文件，即.crt文件。 接着，需要将StartSSL下载的证书文件部署到Apache服务器。这包括ssl.crt、ssl.key、ca.pem和sub.class1.server.ca.pem等四个文件，它们需要被拷贝到Apache的目录下，如/etc/httpd/conf.d/ssl。然后编辑/etc/httpd/conf.d/ssl.conf文件，配置SSL引擎以及代理转发到CAS应用的设置，并将相应的证书文件路径指向所拷贝的文件。 具体来说，需要修改<VirtualHost>指令块，启用SSLEngine，SSLProxyEngine，并设置代理转发指令ProxyPass和ProxyPassReverse，指向CAS服务的地址。接着，需要指定证书文件的位置，包括SSL证书文件、私钥文件、证书链文件以及CA证书文件。修改完成后，重启Apache服务，并检查通过https访问域名是否正常显示。 对于Tomcat服务器，配置要稍微复杂一些，因为需要确保服务器信任所使用的证书。需要解密私钥文件，这在StartSSL的Control Panel中进行，使用Decrypt Private Key工具并输入密码，然后将解密后的密钥以文本形式保存。 然后，使用解密后的私钥文件和相应的证书文件创建一个pkcs12格式的文件。这需要使用Java的keytool工具或其他能生成pkcs12文件的工具。创建好pkcs12文件后，将其导入Tomcat的密钥库中，并在Tomcat配置文件中进行相应的信任和引用配置。 完成以上步骤之后，CAS就可以与StartSSL证书结合使用，为多个应用提供统一的认证服务。这样，用户在访问不同的应用时，无需重复登录，通过CAS即可实现单点登录。这不仅可以提高用户体验，还能够简化认证过程中的管理。不过，需要注意的是，虽然StartSSL提供免费证书，但在商业环境中，建议使用长期有效的付费证书以确保服务的可靠性。