CAS3.4 关于PAM模块SSL的详细配置

在要配置PAM_CAS的SSL时，才发现原来之前使用的证书都得重新换掉了。

采用OpenSSL和KeyTool签发自签名证书来替换之前配置的Tomcat SSL

redHat自带Openssl工具，因为我并没有在redhat系统中安装JDK，所以我下载了Openssl并安装在了CAS服务器所在的Windows系统中。

?

keytool -import -v -trustcacerts -alias c:\ca\cas-server -file cas-server-cer.pem -keystore cas-store.keystore

?

?

执行完以上命令后，在c:\ca目录下，应有文件如下：

1：ca-privkey.pem

2：ca-req.csr

3：ca-root.pem

4：cas-store.keystore

5：cas-server.csr

6：cas-server-cer.pem

?

替换方案：

1：将cas-store.keystore替换掉CAS服务器Tomcat中所使用的证书库

2：编辑redhat主机中，pam_cas模块所使用的pam_cas.conf文件，修改文件中的ssl设为on，trusted_ca参数所指定的证书文件为ca-root.pem，端口为8443

?

?

?

????? 在配置PAM的SSL时，多说两句，pam_cas.conf配置文件中的trustca值，应该为一个BASE64编码的证书文件，注释中提到，此证书应该为一个CA根书，可见这个SSL连接是单向连接。

???? 至此，PAM_CAS的SSL算是配置成功

?????

????? 下次的研究目标是：基于kerberos协议，通过spnego机制实现CAS与AD间的单点登录(凡是登录域的用户，在访问CAS业务系统时则不需要认证)

?