如何为 CAS 和客户端（不同机器）设置 SSL

Question

如何在不同的机器上为 CAS 服务器和客户端设置 ssl 证书（自签名）

• CAS 服务器：Linux、Tomcat、jdk6
• 客户端：windows、Tomcat、jdk6
• 证书：自签名（keytool）
• 环境：开发

CAS 和客户端在单一环境下工作正常机器，如果使用不同的机器，则会抛出证书错误。

单个自签名证书对于客户端和服务器计算机是否足够？

需要更改任何特定的客户端和服务器设置，例如用于创建证书的服务器计算机名称和客户端计算机名称

Answer 1

您能否添加您收到的异常以及在哪个节点中？

作为一般建议，请注意：

1) 如果您在服务器端 cas 客户端和 CAS 服务器之间使用 https 通信，则必须在客户端 JVM 计算机上安装证书

2) JVM 将不接受（在运行时）自签名证书，其 IP 地址位于 CN（通用名称）中。

请参阅https://wiki.jasig.org/display/CASUM/ SSL+Troubleshooting+and+Reference+Guide 了解更多详细信息

---

因此，从您发布的异常来看，似乎存在以下情况（引自上面的 CAS 故障排除链接）：

不存在主题替代名称示例替代名称堆栈跟踪
javax.net.ssl.SSLHandshakeException：
java.security.cert.CertificateException：没有主题备用名称
大多数情况下，这是主机名/SSL 证书 CN 不匹配。

当自签名证书颁发给
localhost 放置在通过 IP 地址访问的机器上。它
应该注意的是，生成带有 IP 地址的证书
通用名称，例如 CN=192.168.1.1,OU=Middleware,dc=vt,dc=edu，不会
在大多数情况下，建立连接的客户端是 Java。为了
例如，Java CAS 客户端在连接到
CAS 服务器使用包含 IP 地址的证书进行保护
中文.

您是否已解决使用域名而不是 IP 更改证书，然后在 CAS 客户端的系统信任库 以及 CAS 服务器的密钥库？