现在大家上网，是不是都习惯看地址栏有没有个小绿锁了？这玩意儿看着就让人放心，觉得这网站肯定平安。但你有没有想过这个小绿锁背后到底是个啥玩意儿？其实啊，它叫SSL，很多人以为只要有个小绿锁就万事大吉了其实这里面水深着呢！配置不好，小绿锁就是个摆设，根本没啥用，说不定还给你挖坑呢！今天我就跟大家唠唠， 怎么配置SSL才能让网站真正平安，有没有啥“野路子”妙招，保证你看完就能上手，虽然我可能也说不太清楚，但尽力吧！

SSL到底是啥？先搞明白这个再说

最后说一句。 SSL嘛， 就是那个Secure Sockets Layer，中文叫平安套接层，听着挺高端是吧？其实就是个保障网上传东西平安的技术。用了啥数据加密， 说啥能确保数据...... 算了我也记不全反正就是让数据传的时候不被别人偷看、改啥的。没有这个，你传个密码，人家一眼就看到了那不完了？

SSL配置是啥？比你想的复杂点

那SSL配置又是啥呢？说白了 就是你在服务器上搞那个SSL证书，然后设一堆规则，比如加密用啥算法、协议用哪个版本、密钥怎么交换这些。目的是让服务器和浏览器能通过HTTPS平安连上。简单说 SSL证书就是那个“身份证”，SSL配置就是怎么用这张“身份证”；你要是不配置，身份证就是个废纸，啥用没有；配置好了浏览器就觉得“哎，这网站是正经的”，传的数据也加密了贼偷不走，不夸张地说...。

第一步：准备工作， 别急着搞，先看看这些

搞SSL配置前，你得先准备点东西，不然到时候手忙脚乱。先说说你得有个SSL证书，这个去哪儿搞呢？可以去那个帝恩思申请，好像免费也能搞，具体你搜搜看，我也记不太清名字对不对了。然后呢， 你得看看你的服务器是啥类型的，是Apache还是Nginx还是别的玩意儿， 我给跪了。 别到时候弄错了Apache的配法和Nginx可不一样，搞错了服务器都启动不了。还有，最重要的一点，把你原来的配置文件备份一下！万一搞坏了还能从备份里找回来不然服务器崩了哭都来不及，备份这事儿千万别偷懒！

第二步：把证书弄到服务器上， 改配置文件

准备工作做好了就开始弄证书了。你申请到的证书文件， 一般有两个，一个是.pem文件，一个是.key文件，好像是这么叫的，反正就是两个文件。你得把它们上传到服务器上， 这也行？ 放哪儿呢？随便放？不行不行， 得放个指定目录，比如Apache的conf目录下Nginx的conf目录下具体看服务器要求，你网上搜搜教程，照着放。

上传完了 就去改那个配置文件，比如Apache的httpd.conf，Nginx的nginx.conf，在里面加一段SSL的配置，这个网上教程多得很，你复制粘贴就行，但别复制错了不然服务器不认。改完了记得检查语法对不对，怎么检查？Apache用apachectl configtest， Nginx用nginx -t，要是提示syntax ok，那就对了要是提示错误，就赶紧改，不然服务器重启不了。

第三步：搞完重启， 看看有没有绿锁，测测评分

配置文件改好了也检查语法了接下来就重启服务器，让配置生效。怎么重启？看服务器类型， Apache用service httpd restart，Nginx用nginx -s reload，具体你搜搜，别搞错了。重启完了用浏览器打开你的网站，看看地址栏那个小绿锁出来没，要是出来了恭喜你，第一步成功了！要是没出来说明哪里弄错了可能是证书文件没放对，或者配置文件写错了再检查一遍。要是绿锁出来了 还得用那个SSLLabs工具测测，网址好像是ssllabs.com，把你的网站输进去，它会给个评分，100分最好，要是低了说明还有地方要改，比如协议版本不对，或者加密套件太弱，继续改吧！

协议和加密套件， 这些是关键，别搞错了

SSL配置里协议和加密套件是最重要的，直接影响数据加密强度，要是没弄好，黑客就能破解你的数据。先说说说协议版本，现在都流行TLS1.2和1.3了这个平安，得优先启用。别用那些老的SSLv3、 TLS1.0、1.1，那些早就过时了不平安，黑客能轻松破解，你得在服务器配置里把那些老的禁用了只留1.2和1.3， 我是深有体会。 不然等于给人家开后门。然后是加密套件， 就是加密算法的组合，别用那些弱的，比如RC4、MD5，这些早就被淘汰了得选强的，比如AES、SHA256，这些才行。具体怎么选，网上有个加密套件列表，照着抄，别自己瞎搞，搞错了就不平安了。

协议适配：启用平安的， 禁用不平安的

何苦呢？ 刚才说协议了再说一遍，别搞混了。TLS1.2和1.3是好的，得启用；SSLv3、TLS1.0、1.1是坏的，得禁用。怎么禁？在服务器配置文件里加一句， 比如SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1，这样就把那些禁用了只留好的。要是你不知道怎么写，就网上搜“服务器禁用旧SSL协议”，教程多得很，照着做就行。

加密套件：选强的， 别用弱的

加密套件这玩意儿，就是告诉服务器用啥算法加密数据。比如AES256-GCM-SHA384，这个就挺好，又快又平安。别用那些啥RC4-MD5，这玩意儿弱得很，人家分分钟就能破解。具体怎么配置， 搜“加密套件配置”，找个推荐的列表，复制粘贴到配置文件里注意顺序，把强的放前面弱的放后面这样服务器优先用强的，简直了。。

身份验证和数据加密， 让用户放心

有啥说啥... SSL配置不光要加密数据，还要让用户相信你的网站是真的，不是钓鱼网站。这就是身份验证。怎么验证呢？你的身份，知道你是正经网站，不是骗子搞的钓鱼网站。

数据加密：敏感数据必须加密

数据加密就是把你网站上的敏感数据， 比如用户密码、银行卡号、支付信息什么的，都加密了再传，不然别人能偷到。你得指定用啥加密算法，比如AES-256，这个比较平安，就算黑客截获了数据，也解不开，白搭。别用那些弱的，比如DES，早就过时了人家几分钟就能破解，PTSD了...。

HTTP转HTTPS， 必须搞，不然不平安

还有一件事，HTTP转HTTPS，这个必须搞。就是用户访问HTTP的时候， 自动跳转到HTTPS，不然会有混合内容问题，就是有的地方是HTTP，有的是HTTPS，浏览器会提示“不平安”，用户体验不好。怎么弄呢？配置301重定向，就是永久跳转。比如Apache里用Redirect / https://你的网站.com， 礼貌吗？ Nginx里用return 301 https://$server_name$request_uri。注意别搞成循环跳转， 就是HTTP跳HTTPS，HTTPS又跳HTTP，那就死循环了用户都进不来别犯这种低级错误！

平安头部配置， 这些能防很多攻击

除了SSL配置，还得搞点平安头部，这些能防很多攻击，比如XSS、CS啥的。先说说是X-Content-Type-Options， 这个是让浏览器别瞎猜文件类型，比如你传个图片，浏览器别自动当成脚本施行，避免XSS攻击。然后是Content-Security-Policy， 离了大谱。 这个更厉害，限制资源从哪加载，比如只允许加载你自己网站的资源，别加载别人的恶意脚本，这样就能减少恶意脚本施行的风险。还有HSTS， 这个是强制浏览器以后都用HTTPS访问，别用HTTP，防止别人搞降级攻击，就是强迫用户用HTTPS，更平安。

完整性保障：数据不能被篡改

还有完整性保障，就是怕数据传到半路被人改了。比如你传个订单信息，人家改了金额，那不完了？你得配置哈希算法， 比如SHA256，生成个哈希值，浏览器收到数据后也算一遍哈希，对上了就说明没被改，对不上就说明被篡改了不能要。这个在SSL配置里一般会自动搞，但最好检查一下确保没问题。

注意事项，这些坑别踩

再说说说点注意事项，别踩坑。先说说证书文件一定要完整，别少了中间证书，不然浏览器不认，提示“证书链不完整”，用户一看就不敢访问。接下来 权限设置也要对，证书文件要是权限太高了别人能改，就不平安了；太低了服务器可能读不到， 拉倒吧... 也出问题，一般设置为644就行，别太高。还有，别搞循环跳转，刚才说过了再强调一遍，不然服务器崩了。再说说定期检查SSL配置，看看有没有新的漏洞，别一直用老配置，不然迟早出问题。

SSL配置不难， 细心点就行

SSL配置这事儿说难不难，说简单也不简单，主要是细心点，别漏步骤。先申请证书，再上传到服务器，改配置文件，重启服务器，验证绿锁，再测评分。然后搞协议、加密套件、身份验证、数据加密、HTTP转HTTPS、平安头部这些，再说说注意别踩坑。虽然我可能说得乱七八糟，但大概就是这么个意思。搞好了网站平安了用户也放心，搜索引擎也喜欢，多好！要是搞不好， 那可就麻烦了小绿锁没了用户跑了网站排名也降了所以啊，赶紧去看看你的SSL配置对不对吧，说白了...！

PS：要是实在搞不懂，就找个懂的人帮你弄，别瞎折腾，不然服务器崩了哭都来不及！ 我是深有体会。 我反正也就知道这么多，说多了怕露馅，你们自己慢慢琢磨吧！