SSLEngine on
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLCertificateChainFile chain.crt

ssl                  on;
ssl_certificate      server.crt;
ssl_certificate_key  server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

<!-- Tomcat 5 到 Tomcat 6.0.38的版本>
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" SSLProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

<!-- Tomcat 6.0.38 以后的版本 -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" SSLEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"/>

<!—使用APR的TOMCAT -->
<Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
           port="8443" minSpareThreads="5" maxSpareThreads="75" >

Windows IIS

服务器端

1. 点击“开始”—“运行”，输入 “Regedit”，点击OK.

2. 在注册表中寻找：

3. “HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server”

4. 如果在Protocols下没有“SSL 3.0”选项，请依次新建“SSL 3.0”和“Server”项。

5. 新建一个DWORD值。

6. 在名称中，输入“Enabled”。

7. 双击这个值，在数值数据中，输入“0”。

8. 点击OK，退出注册表编辑器，然后重启电脑。

9. 如果要禁用SSLv2，只需要将上面SSL 3.0改成SSL 2.0，其他照样操作一次即可。

客户端

1. 点击“开始”—“运行”，输入 “Regedit”，点击OK.

2. 在注册表中寻找：
   

   “HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client”

3. 如果在Protocols下没有“SSL 3.0”选项，请依次新建“SSL 3.0”和“Client”项。

4. 新建一个DWORD值。

5. 在名称中，输入“Enabled”。

6. 双击这个值，在数值数据中，输入“0”。

7. 点击OK，退出注册表编辑器，然后重启电脑。

8. 如果要禁用SSLv2，只需要将上面SSL 3.0改成SSL 2.0，其他照样操作一次即可。

BIG-IP

在命令终端运行以下命令：

[root@bigip1:Active:Standalone] templates # tmsh modify /sys httpd ssl-protocol "all -SSLv2 -SSLv3"