在要配置PAM_CAS的SSL时,才发现原来之前使用的证书都得重新换掉了。
采用OpenSSL和KeyTool签发自签名证书来替换之前配置的Tomcat SSL
redHat自带Openssl工具,因为我并没有在redhat系统中安装JDK,所以我下载了Openssl并安装在了CAS服务器所在的Windows系统中。
OpenSSL10.9.7c http://gnuwin32.sourceforge.net/downlinks/openssl-bin.php
请自行安装该相关软件并配置好环境变量
一:创建Openssl配置文件
[ req ]
default_bits = 1024
default_keyfile = ca-privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
prompt = no
output_password = 111111
[ req_distinguished_name ]
C = CN
ST = Beijing
L = Haidian
O = www.ncs-cyber.com.cn
OU = ncs-cyber.com.cn
CN = RainTime
emailAddress = zz@ncs-cyber.com.cn
[ req_attributes ]
challengePassword = 111111
openssl.conf可参考:http://www.openssl.org/docs/apps/req.html#EXAMPLES
将openssl.conf文件拷贝到openssl的安装目录下的bin目录中
二:创建数字证书
1:为方便,在C盘创建用于存放数字证书的文件夹"ca",路径为:"c:\ca"
2:运行命令提示符"CMD"
3:执行Openssl命令
1)生成私钥
openssl genrsa -out c:\ca\ca-privkey.pem 1024
2)生成待签名证书
Openssl req –new –out c:\ca\ca-req.csr -key c:\ca\ca-privkey.pem -config
openssl.conf
3)用CA私钥匙进行自签名
openssl x509 -req -in c:\ca\ca-req.csr -out c:\ca\ca-root.pem -signkey
c:\ca\ca-privkey.pem -days 365
4:执行KeyTool命令
1)创建KeyPari
keytool -genkey -alias cas-server -keyalg RSA -keystore c:ca\cas-store.keystore
-validity 365
注意:CN应为CAS服务器的域名或机器名
2)生成待签名证书
keytool -certreq -alias cas-server -sigalg MD5withRSA -file c:\ca\cas-server.csr
-keystore cas-store.keystore
5:执行Openssl命令,使用私钥对服务器请求证书文件进行签名
openssl x509 -req -in c:\ca\cas-server.csr -out c:\ca\cas-server-cer.pem -CA
c:\ca\ca-root.pem -CAkey c:\ca\ca-privkey.pem -days 365 -set_serial 1
6:执行KeyTool命令,导入根证书到信任证书库
keytool -import -v -trustcacerts -alias cas-root -file c:\ca\ca-root.pem
-keystore %JAVA_HOME%\jre\lib\security\cacerts
7:执行KeyTool命令,导入服务器证书到证书库
keytool -import -v -trustcacerts -alias c:\ca\cas-server -file cas-server-cer.pem
-keystore cas-store.keystore
执行完以上命令后,在c:\ca目录下,应有文件如下:
1:ca-privkey.pem
2:ca-req.csr
3:ca-root.pem
4:cas-store.keystore
5:cas-server.csr
6:cas-server-cer.pem
替换方案:
1:将cas-store.keystore替换掉CAS服务器Tomcat中所使用的证书库
2:编辑redhat主机中,pam_cas模块所使用的pam_cas.conf文件,修改文件中的ssl设为on,trusted_ca参数所指定的证书文件为ca-root.pem,端口为8443
在配置PAM的SSL时,多说两句,pam_cas.conf配置文件中的trustca值,应该为一个BASE64编码的证书文件,注释中提到,此证书应该为一个CA根书,可见这个SSL连接是单向连接。
至此,PAM_CAS的SSL算是配置成功
下次的研究目标是:基于kerberos协议,通过spnego机制实现CAS与AD间的单点登录(凡是登录域的用户,在访问CAS业务系统时则不需要认证)
分享到:
相关推荐
该文档适用于,对linux 有一定了解,从事或者正要从事linux pam模块开发的同学
linux操作系统PAM模块实例,linux操作系统PAM模块实例。
NULL 博文链接:https://dingody.iteye.com/blog/1978152
linux下可插入验证模块更改用户权限和目录权限的代码,很有参考价值!
详细的描述了linux-pam的配置,包括各个模块的配置,接口的配置。。。
pam常用模块命令及编辑方法 pam的编辑格式 pam的基础讲解及常用的pam模块介绍
用Linux-PAM模块实现用户登陆的控制.pdf
一种基于Linux-PAM模块的身份验证方法.pdf
一个PAM模块用于利用Touch ID进行身份验证
这个 PAM 模块运行 Python 解释器,因此允许用 Python 编写 PAM 模块。 由于 Python 会产生相当大的开销,因此它的目标受众是 SysAdmins 编写一个 PAM 模块。 所有可用的文档都可以在 ...
linux环境下pam安全模块 相关的视频 pam 1/5 http://www.boobooke.com/bbs/thread-67642-1-1.html pam 2/5 http://www.boobooke.com/bbs/thread-67655-1-1.html pam 3/5 ...
Uber的SSH证书pam模块。 这是一个pam模块,它将根据用户的ssh代理中具有由指定ssh CA签名的ssh证书的用户进行身份验证。 这主要是用作sudo Uber的SSH证书pam模块的身份验证模块。 这是一个pam模块,它将根据用户的...
PAM4是400G光模块的主要调制方式,有多模和单模两种类型。基于PAM4调制的400G光模块电口侧以8x50G PAM4调制,光口侧则有8x50G PAM4和4x100G PAM4两种调制类型。
如何设置linux密码策略,以提高linux身份鉴别的安全性
该模块没有自己的配置选项,但是接受那些修改pam_get_authtok (3)行为的选项。 在指定PAM_MODULE_DIR同时进行PAM_MODULE_DIR 。 在password pam_unix.so ...之后,安装并添加您的PAM配置password pam_u
用法类 pam::pamd无模块配置类{'pam::pamd':}LDAP模块如果你想要 pam_ldap: class { 'pam::pamd': pam_ldap => true, } 或者即使您需要特定的身份验证行为: class { 'pam::pamd': pam_ldap => true, pam_ldap_...
vsftpd+pam+mysql安装配置[文].pdf
WSL你好须藤“ WSL Hello sudo”是Linux PAM模块和随附的Windows CLI应用程序,可通过Linux子系统(WSL)上Windows 的生物特征登录实现sudo 。 通过此PAM模块,您可以通过面部识别,指纹认证以及相关机器本地PIN来对...
随着400G光模块的投入使用,数据中心的互连也逐渐向800G以太网发展,800G以太网将成为继400G网络之后的又一大热点。但是,800G以太网是全新的技术,依据现有规范,已出现基于相干和PAM4技术的设想架构,正处于测试和...
实现PAM8,并进行误码率分析,PAM比特流通过随机数产生