配置ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL简介·1-11.
1.
1SSL安全机制1-11.
1.
2SSL协议结构1-21.
1.
3SSL协议版本1-21.
2SSL配置限制和指导·1-21.
3SSL配置任务简介·1-21.
3.
1SSL服务器端配置任务简介1-21.
3.
2SSL客户端配置任务简介1-31.
4配置SSL服务器端策略1-31.
5配置SSL客户端策略·1-41.
6关闭SSL3.
0版本1-51.
7配置SSL服务器端关闭SSL重协商1-51.
8SSL显示和维护·1-51-11SSL1.
1SSL简介SSL(SecureSocketsLayer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接.
SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证.
1.
1.
1SSL安全机制SSL提供的安全连接可以实现如下功能:保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(RivestShamirandAdleman),加密传输对称密钥算法中使用的密钥.
对称密钥算法、非对称密钥算法RSA的详细介绍请参见"安全配置指导"中的"公钥管理".
验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证.
SSL服务器和SSL客户端通过PKI(PublicKeyInfrastructure,公钥基础设施)提供的机制获取数字证书.
PKI及数字证书的详细介绍请参见"安全配置指导"中的"PKI".
保证数据的完整性:消息传输过程中使用MAC(MessageAuthenticationCode,消息验证码)来检验消息的完整性.
MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,原始数据的任何变化都会导致计算出的固定长度数据发生变化.
如图1-1所示,利用MAC算法验证消息完整性的过程为:a.
发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者.
b.
接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较.
c.
如果二者相同,则接收者认为报文没有被篡改;否则,认为报文在传输过程中被篡改,接收者将丢弃该报文.
图1-1MAC算法示意图密钥Message发送者Message发送给接收者MAC密钥接收者比较Message计算MAC计算MACMACMAC1-21.
1.
2SSL协议结构如图1-2所示,SSL协议可以分为两层:下层为SSL记录协议(SSLRecordProtocol);上层为SSL握手协议(SSLHandshakeProtocol)、SSL密码变化协议(SSLChangeCipherSpecProtocol)和SSL告警协议(SSLAlertProtocol).
图1-2SSL协议栈SSL记录协议:主要负责对上层的数据进行分块、计算并添加MAC、加密,最后把加密后的记录块传输给对方.
SSL握手协议:用来协商通信过程中使用的加密套件(数据加密算法、密钥交换算法和MAC算法等),实现服务器和客户端的身份验证,并在服务器和客户端之间安全地交换密钥.
客户端和服务器通过握手协议建立会话.
一个会话包含一组参数,主要有会话ID、对方的数字证书、加密套件及主密钥.
SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输.
SSL告警协议:用来向对端报告告警信息,以便对端进行相应的处理.
告警消息中包含告警的严重级别和描述.
1.
1.
3SSL协议版本目前,SSL协议版本主要有SSL2.
0、SSL3.
0和TLS1.
0(TLS1.
0对应SSL协议的版本号为3.
1).
由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时,可以配置SSL协议版本为TLS1.
0,并通过命令行关闭SSL3.
0版本.
1.
2SSL配置限制和指导设备作为SSL服务器时,可以与SSL3.
0和TLS1.
0版本的SSL客户端通信,还可以识别同时兼容SSL2.
0和SSL3.
0/TLS1.
0版本的SSL客户端发送的报文,并通知该客户端采用SSL3.
0/TLS1.
0版本与SSL服务器通信.
1.
3SSL配置任务简介1.
3.
1SSL服务器端配置任务简介SSL服务器端配置任务如下:配置SSL服务器端策略(可选)关闭SSL3.
0版本1-3(可选)配置SSL服务器端关闭SSL重协商1.
3.
2SSL客户端配置任务简介SSL客户端配置任务如下:配置SSL客户端策略(可选)关闭SSL3.
0版本1.
4配置SSL服务器端策略1.
功能简介SSL服务器端策略是设备作为服务器时使用的SSL参数.
只有与HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)等应用关联后,SSL服务器端策略才能生效.
2.
配置步骤(1)进入系统视图.
system-view(2)创建SSL服务器端策略,并进入SSL服务器端策略视图.
sslserver-policypolicy-name(3)配置SSL服务器端策略所使用的PKI域.
pki-domaindomain-name缺省情况下,未指定SSL服务器端策略所使用的PKI域.
如果客户端需要对服务器端进行基于数字证书的身份验证,则必须在SSL服务器端指定PKI域,并在该PKI域内为SSL服务器端申请本地数字证书.
PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI".
(4)配置SSL服务器端策略支持的加密套件.
ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*缺省情况下,SSL服务器端策略支持所有的加密套件.
(5)(可选)配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
session{cachesizesize|timeouttime}*缺省情况下,SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
(6)配置SSL服务器端对SSL客户端的身份验证方案.
client-verify{enable|optional}缺省情况下,SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证.
SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销.
1-41.
5配置SSL客户端策略1.
功能简介SSL客户端策略是客户端连接SSL服务器时使用的参数.
只有与应用层协议,如FTP(FileTransferProtocol,文件传输协议),关联后,SSL客户端策略才能生效.
FTP的详细配置请参见"基础配置指导"中的"FTP".
2.
配置限制和指导在SSL客户端策略视图下,用户可以配置SSL协议版本为TLS1.
0或SSL3.
0.
在对安全性要求较高的环境下,建议配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
如果配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本,则SSL客户端仅使用TLS1.
0版本的协议连接服务器.
如果配置SSL协议版本为TLS1.
0,未在系统视图下关闭SSL3.
0版本,则SSL客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接.
如果配置SSL协议版本为SSL3.
0,但在系统视图下关闭SSL3.
0版本,则SSL客户端仍可使用SSL3.
0版本的协议连接服务器.
3.
配置步骤(1)进入系统视图.
system-view(2)创建SSL客户端策略,并进入SSL客户端策略视图.
sslclient-policypolicy-name(3)配置SSL客户端策略所使用的PKI域.
pki-domaindomain-name缺省情况下,未指定SSL客户端策略所使用的PKI域.
如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书.
PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI".
(4)配置SSL客户端策略支持的加密套件.
prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
(5)配置SSL客户端策略使用的SSL协议版本.
version{ssl3.
0|tls1.
0}缺省情况下,SSL客户端策略使用的SSL协议版本为TLS1.
0.
(6)配置客户端需要对服务器端进行基于数字证书的身份验证.
server-verifyenable缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证.
1-51.
6关闭SSL3.
0版本1.
功能简介由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时,建议使用TLS1.
0版本.
为了使用TLS1.
0版本:对于SSL客户端,需要在SSL客户端策略中配置SSL协议版本为TLS1.
0,同时在系统视图下关闭SSL3.
0版本.
对于SSL服务器,需要通过本配置关闭SSL3.
0版本.
如果在系统视图下关闭了SSL3.
0版本,SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
2.
配置限制和指导如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
3.
配置步骤(1)进入系统视图.
system-view(2)关闭SSL3.
0版本.
sslversionssl3.
0disable缺省情况下,允许使用SSL3.
0版本.
1.
7配置SSL服务器端关闭SSL重协商1.
功能简介关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
2.
配置限制和指导通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
3.
配置步骤(1)进入系统视图.
system-view(2)配置SSL服务器端关闭SSL重协商.
sslrenegotiationdisable缺省情况下,允许SSL重协商.
1.
8SSL显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果.
1-6表1-1SSL显示和维护操作命令显示SSL服务器端策略的信息displaysslserver-policy[policy-name]显示SSL客户端策略的信息displaysslclient-policy[policy-name]
1SSL简介·1-11.
1.
1SSL安全机制1-11.
1.
2SSL协议结构1-21.
1.
3SSL协议版本1-21.
2SSL配置限制和指导·1-21.
3SSL配置任务简介·1-21.
3.
1SSL服务器端配置任务简介1-21.
3.
2SSL客户端配置任务简介1-31.
4配置SSL服务器端策略1-31.
5配置SSL客户端策略·1-41.
6关闭SSL3.
0版本1-51.
7配置SSL服务器端关闭SSL重协商1-51.
8SSL显示和维护·1-51-11SSL1.
1SSL简介SSL(SecureSocketsLayer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接.
SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证.
1.
1.
1SSL安全机制SSL提供的安全连接可以实现如下功能:保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(RivestShamirandAdleman),加密传输对称密钥算法中使用的密钥.
对称密钥算法、非对称密钥算法RSA的详细介绍请参见"安全配置指导"中的"公钥管理".
验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证.
SSL服务器和SSL客户端通过PKI(PublicKeyInfrastructure,公钥基础设施)提供的机制获取数字证书.
PKI及数字证书的详细介绍请参见"安全配置指导"中的"PKI".
保证数据的完整性:消息传输过程中使用MAC(MessageAuthenticationCode,消息验证码)来检验消息的完整性.
MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,原始数据的任何变化都会导致计算出的固定长度数据发生变化.
如图1-1所示,利用MAC算法验证消息完整性的过程为:a.
发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者.
b.
接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较.
c.
如果二者相同,则接收者认为报文没有被篡改;否则,认为报文在传输过程中被篡改,接收者将丢弃该报文.
图1-1MAC算法示意图密钥Message发送者Message发送给接收者MAC密钥接收者比较Message计算MAC计算MACMACMAC1-21.
1.
2SSL协议结构如图1-2所示,SSL协议可以分为两层:下层为SSL记录协议(SSLRecordProtocol);上层为SSL握手协议(SSLHandshakeProtocol)、SSL密码变化协议(SSLChangeCipherSpecProtocol)和SSL告警协议(SSLAlertProtocol).
图1-2SSL协议栈SSL记录协议:主要负责对上层的数据进行分块、计算并添加MAC、加密,最后把加密后的记录块传输给对方.
SSL握手协议:用来协商通信过程中使用的加密套件(数据加密算法、密钥交换算法和MAC算法等),实现服务器和客户端的身份验证,并在服务器和客户端之间安全地交换密钥.
客户端和服务器通过握手协议建立会话.
一个会话包含一组参数,主要有会话ID、对方的数字证书、加密套件及主密钥.
SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输.
SSL告警协议:用来向对端报告告警信息,以便对端进行相应的处理.
告警消息中包含告警的严重级别和描述.
1.
1.
3SSL协议版本目前,SSL协议版本主要有SSL2.
0、SSL3.
0和TLS1.
0(TLS1.
0对应SSL协议的版本号为3.
1).
由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时,可以配置SSL协议版本为TLS1.
0,并通过命令行关闭SSL3.
0版本.
1.
2SSL配置限制和指导设备作为SSL服务器时,可以与SSL3.
0和TLS1.
0版本的SSL客户端通信,还可以识别同时兼容SSL2.
0和SSL3.
0/TLS1.
0版本的SSL客户端发送的报文,并通知该客户端采用SSL3.
0/TLS1.
0版本与SSL服务器通信.
1.
3SSL配置任务简介1.
3.
1SSL服务器端配置任务简介SSL服务器端配置任务如下:配置SSL服务器端策略(可选)关闭SSL3.
0版本1-3(可选)配置SSL服务器端关闭SSL重协商1.
3.
2SSL客户端配置任务简介SSL客户端配置任务如下:配置SSL客户端策略(可选)关闭SSL3.
0版本1.
4配置SSL服务器端策略1.
功能简介SSL服务器端策略是设备作为服务器时使用的SSL参数.
只有与HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)等应用关联后,SSL服务器端策略才能生效.
2.
配置步骤(1)进入系统视图.
system-view(2)创建SSL服务器端策略,并进入SSL服务器端策略视图.
sslserver-policypolicy-name(3)配置SSL服务器端策略所使用的PKI域.
pki-domaindomain-name缺省情况下,未指定SSL服务器端策略所使用的PKI域.
如果客户端需要对服务器端进行基于数字证书的身份验证,则必须在SSL服务器端指定PKI域,并在该PKI域内为SSL服务器端申请本地数字证书.
PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI".
(4)配置SSL服务器端策略支持的加密套件.
ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*缺省情况下,SSL服务器端策略支持所有的加密套件.
(5)(可选)配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
session{cachesizesize|timeouttime}*缺省情况下,SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
(6)配置SSL服务器端对SSL客户端的身份验证方案.
client-verify{enable|optional}缺省情况下,SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证.
SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销.
1-41.
5配置SSL客户端策略1.
功能简介SSL客户端策略是客户端连接SSL服务器时使用的参数.
只有与应用层协议,如FTP(FileTransferProtocol,文件传输协议),关联后,SSL客户端策略才能生效.
FTP的详细配置请参见"基础配置指导"中的"FTP".
2.
配置限制和指导在SSL客户端策略视图下,用户可以配置SSL协议版本为TLS1.
0或SSL3.
0.
在对安全性要求较高的环境下,建议配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
如果配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本,则SSL客户端仅使用TLS1.
0版本的协议连接服务器.
如果配置SSL协议版本为TLS1.
0,未在系统视图下关闭SSL3.
0版本,则SSL客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接.
如果配置SSL协议版本为SSL3.
0,但在系统视图下关闭SSL3.
0版本,则SSL客户端仍可使用SSL3.
0版本的协议连接服务器.
3.
配置步骤(1)进入系统视图.
system-view(2)创建SSL客户端策略,并进入SSL客户端策略视图.
sslclient-policypolicy-name(3)配置SSL客户端策略所使用的PKI域.
pki-domaindomain-name缺省情况下,未指定SSL客户端策略所使用的PKI域.
如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书.
PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI".
(4)配置SSL客户端策略支持的加密套件.
prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
(5)配置SSL客户端策略使用的SSL协议版本.
version{ssl3.
0|tls1.
0}缺省情况下,SSL客户端策略使用的SSL协议版本为TLS1.
0.
(6)配置客户端需要对服务器端进行基于数字证书的身份验证.
server-verifyenable缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证.
1-51.
6关闭SSL3.
0版本1.
功能简介由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时,建议使用TLS1.
0版本.
为了使用TLS1.
0版本:对于SSL客户端,需要在SSL客户端策略中配置SSL协议版本为TLS1.
0,同时在系统视图下关闭SSL3.
0版本.
对于SSL服务器,需要通过本配置关闭SSL3.
0版本.
如果在系统视图下关闭了SSL3.
0版本,SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
2.
配置限制和指导如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
3.
配置步骤(1)进入系统视图.
system-view(2)关闭SSL3.
0版本.
sslversionssl3.
0disable缺省情况下,允许使用SSL3.
0版本.
1.
7配置SSL服务器端关闭SSL重协商1.
功能简介关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
2.
配置限制和指导通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
3.
配置步骤(1)进入系统视图.
system-view(2)配置SSL服务器端关闭SSL重协商.
sslrenegotiationdisable缺省情况下,允许SSL重协商.
1.
8SSL显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果.
1-6表1-1SSL显示和维护操作命令显示SSL服务器端策略的信息displaysslserver-policy[policy-name]显示SSL客户端策略的信息displaysslclient-policy[policy-name]
宝塔面板企业版和专业版618年中活动 永久授权仅1888元+
我们一般的站长或者企业服务器配置WEB环境会用到免费版本的宝塔面板。但是如果我们需要较多的付费插件扩展,或者是有需要企业功能应用的,短期来说我们可能选择按件按月付费的比较好,但是如果我们长期使用的话,有些网友认为选择宝塔面板企业版或者专业版是比较划算的。这样在年中大促618的时候,我们也可以看到宝塔面板也有发布促销活动。企业版年付899元,专业版永久授权1888元起步。对于有需要的网友来说,还是值...
BuyVM新设立的迈阿密机房速度怎么样?简单的测评速度性能
BuyVM商家算是一家比较老牌的海外主机商,公司设立在加拿大,曾经是低价便宜VPS主机的代表,目前为止有提供纽约、拉斯维加斯、卢森堡机房,以及新增加的美国迈阿密机房。如果我们有需要选择BuyVM商家的机器需要注意的是注册信息的时候一定要规范,否则很容易出现欺诈订单,甚至你开通后都有可能被禁止账户,也是这个原因,曾经被很多人吐槽的。这里我们简单的对于BuyVM商家新增加的迈阿密机房进行简单的测评。如...
vpsdime7美元/月,美国达拉斯Windows VPS,2核4G/50GB SSD/2TB流量/Hyper-V虚拟化
vpsdime怎么样?vpsdime是2013年成立的国外VPS主机商,以大内存闻名业界,主营基于OpenVZ和KVM虚拟化的Linux套餐,大内存、10Gbps大带宽、大硬盘,有美国西雅图、达拉斯、新泽西、英国、荷兰机房可选。在上个月搞了一款达拉斯Linux系统VPS促销,详情查看:vpsdime夏日促销活动,美国达拉斯vps,2G内存/2核/20gSSD/1T流量,$20/年,此次推出一款Wi...
ssl协议为你推荐
-
支付宝查询余额支付宝里如何查询银行卡里面的余额?公章制作如何用photoshop制作公章伪静态怎么做伪静态?申请证书申请毕业证书中小企业信息化什么是企业信息化,应该这样实施xp系统停止服务XP系统停止服务后电脑怎么办?bt封杀现在是全面封杀BT下载了吗?现在都找不到BT下载影片了声母是什么声母.韵母有哪些微信怎么看聊天记录微信怎样查询聊天记录网站地图制作如何制作网站地图sitemap,经验分享