如何为CAS和客户端(不同的计算机)设置SSL

Question

如何为CAS服务器和客户端在不同的计算机上设置ssl证书(自签名)

• CAS服务器: Linux、Tomcat、jdk6
• 客户端: windows，Tomcat，jdk6
• 证书:自签名(键盘工具)
• 环境:发展

CAS和客户端在单机上工作正常，如果使用不同的机器，则会抛出证书错误。

客户端和服务器机是否都应该使用单一的自签名证书？

创建证书需要更改任何特定的客户端和服务器设置，如服务器机器名和客户端计算机名。

Answer 1

您可以添加您正在获得的异常和在哪个节点吗？

作为一般性建议，请注意：

1)如果在cas客户端和CAS服务器之间使用https通信，则必须在客户端JVM计算机上安装证书。

2) JVM将不接受(在运行时)带有CN (公共名称)中的ip的自签名证书。

有关更多细节，请参见https://wiki.jasig.org/display/CASUM/SSL+Troubleshooting+and+Reference+Guide

因此，从您发布的例外情况来看，似乎是折叠案例(引用自上面的CAS故障排除链接)：

没有主题替代名称存在示例Alt名称堆栈跟踪javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:在大多数情况下没有主题可选名称，这是主机名/SSL证书CN不匹配。 当向本地主机颁发的自签名证书放置在IP地址访问的计算机上时，通常会发生这种情况。应该注意的是，在连接客户端是Java的大多数情况下，为公共名称(例如CN=192.168.1.1、OU=Middleware、dc=vt、dc=edu )生成带有IP地址的证书是行不通的。例如，Java客户端将在连接到具有CN中包含IP地址的证书的CAS服务器时抛出SSL错误。

您是否已解决使用域名而不是ip更改证书，然后将其重新安装在CAS客户端的系统信任存储和CAS服务器的密钥存储库中？