轻松搭建CAS 5.x系列(2)-搭建HTTPS的SSO SERVER端

概要说明

---

CAS要求，必须使用HTTPS的服务，否则就只等实现登录，无法实现单点登录。
科普下HTTPS，网站有HTTP和HTTPS两种协议。HTTP是浏览器到网站之间是明文传输，比如你输入帐号名和密码点击登录，那帐号名和密码在中间传输过程中有泄漏的风险。HTTPS是浏览器和网站之间加密传输，使用的非对称加密方式，所以非常安全。目前各大网站的登录基本都是用了HTTPS服务。

在上一篇文章《轻松搭建CAS 5.x系列(1)-使用cas overlay搭建SSO SERVER 服务端》中，我们搭建了HTTP的CAS SERVER，在登录画面中有2个错误提示，其中一个就是使用了非加密协议的错误。本文就是来解决这个问题的。

操作步骤

---

1. 设置域名
SSL证书是基于域名的，如果您有自己的域名，请将域名指向到您的测试服务器。如果您没有自己的域名，那自己模拟个域名吧，暂且使用 cas.example.org 。在测试的电脑上，设置hosts将该域名指向到当前服务器。具体设置方式如下：

打开文件C:\Windows\System32\drivers\etc\hosts添加如下行

127.0.0.1    cas.example.org

2. 生成SSL证书
如果是正式对外的话，需要购买正式的SSL证书，阿里云和腾讯云都有。本文只是用于测试，只需要本地生成个SSL证书即可。购买的证书和自己生成证书的差别么，其一没那么的安全，其二浏览器不识别，访问时会有安全警告。

生成证书的步骤是

d:\
cd
D:\casoverlay
keytool -genkey -alias cas -keyalg RSA -keysize  -keypass changeit -storepass changeit -keystore casexample.keystore -dname "CN=http://cas.example.org/,OU=casexample.com,O=casexample,L=casexample,ST=casexample,C=CN" -deststoretype pkcs12

3. Tomcat开启HTTPS服务，导入证书
Tomcat默认情况下是打开HTTP服务的，HTTPS的服务是需要手动开发的，具体打开步骤如下：

打开文件D:\casoverlay\apache-tomcat-8.5.31\conf\server.xml，增加如下配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
　　<SSLHostConfig>
　　　　<Certificate certificateKeystoreFile="D:/casoverlay/casexample.keystore"
　　　　　　certificateKeystorePassword="changeit"
　　　　　　type="RSA" />
　　</SSLHostConfig>
</Connector>

4. 启动Tomcat

执行D:\casoverlay\apache-tomcat-8.5.31\bin\startup.bat

5. 访问CAS服务并登录

https://cas.example.org:8443/cas

可以看到安全的错误提示已经没有了
输入帐号名和密码：casuser/Mellon

恭喜您，HTTPS的CAS服务器已经搭建好了

最后，大家想更多CAS了解的话，可以来[CAS中文文档站点](http://www.cassso-china.cn)（http://www.cassso-china.cn）来瞅瞅。