进入到tomcat的根目录下：

1.     生成密钥对

keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore

在填写第一个问题时，如果是本地主机：应该写localhost，其他问题随便填写。

2  将服务器证书导出为证书文件：

keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore
 输入密码(changeit)：

Keytool返回下列消息：

Certificate stored in file <server.cer>

 
3 用keytool在所选的keystore文件中创建客户端证书：

keytool -genkey -alias tomcat-client -keyalg RSA -keypass changeit -storepass changeit -keystore client.keystore

4 将新客户端证书从keystore导出到证书文件：

keytool -export -alias tomcat-client -storepass changeit -file client.cer -keystore client.keystore

输入keystore密码(changeit)。Keytool将返回该消息：

Certificate stored in file <client.cer>

5  将上述步骤所得到的tomcat根目录下server.cer以及client.cer证书文件导入到cacerts 文件中，
cacerts文件默认生成在tomcat根目录下

keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit

keytool -import -trustcacerts -alias client -file client.cer -keystore cacerts -storepass changeit

6 把证书导入到java信任的证书当中。

keytool -import -trustcacerts -alias tomcat -file server.crt -keystore %java_home%/jre/lib/security/cacerts

从下载得cas-server3最新版本中找到target文件下面得cas.war，拷贝到<TOMCAT_HOME>/webapp目录下
，修改<TOMCAT_HOME>/conf下面得server.xml文件，添加如下：

<Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/server.keystore" keystorePass="changeit"/>

7 启动startup.bat，运行tomcat之后，新打开得浏览器中输入：https://localhost:8443即可看到安全连接对话框，选择之后可以看到正常运行得tomcat！

－－－此时 ，cas服务器端配置已经完成，只要配置客户端之后即可通过cas认证服务器来实现各个子系统之间得单点统一登陆！

客户端配置如下：

1  打开客户端得web.xml文件，添加如下

<!-- CAS Filters -->
 <filter>
  <filter-name>CASFilter</filter-name>
  <filter-class>
   edu.yale.its.tp.cas.client.filter.CASFilter
  </filter-class>
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.loginUrl
   </param-name>
   <param-value>https://localhost:8443/cas/login</param-value>
  </init-param><!--这里的server是服务端的IP-->
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.validateUrl
   </param-name>
   <param-value>
    https://localhost:8443/cas/proxyValidate
   </param-value>
  </init-param><!--这里的serName是服务端的主机名，而且必须是-->
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.serverName
   </param-name>
   <param-value>localhost:8080</param-value><!--client:port就是需要CAS需要拦截的地址和端口，一般就是这个TOMCAT所启动的IP和port-->
  </init-param>
 </filter>

 <filter-mapping>
  <filter-name>CASFilter</filter-name>
  <url-pattern>/secure/*</url-pattern><!--这里的设置是针对servlets-examples的，针对jsp-examples设置为/*-->
 </filter-mapping>
 
 
 2  然后拷贝从cas-server网站上下载到的casclient.jar文件到客户端的lib下面即可；




附录：
显示
keytool -list -v -keystore %java_home%/jre/lib/security/cacerts > t.txt
删除
keytool -delete -alias tomcat -keystore %java_home%/jre/lib/security/cacerts -keypass changeit
只能输入tomcat的缺省口令changeit
keytool参考
%JAVA_HOME%\bin\keytool -delete -alias tomcat -keypass changeit
%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keypass changeit -keyalg RSA
%JAVA_HOME%\bin\keytool -export -alias tomcat -keypass changeit -file %FILE_NAME%
%JAVA_HOME%\bin\keytool -import -file server.crt -keypass changeit
-keystore %JAVA_HOME%/jre/lib/security/cacerts
%JAVA_HOME%\bin\keytool -import -file server.crt -keypass changeit
%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keypass changeit -keyalg RSA -validity 365