ADC

配置 SSL 会话的正常清理

某些操作必须正常清理 SSL 会话,而不是突然终止会话。此类操作的例子有:

  • 更新证书以替换可能暴露的证书
  • 使用更强的密钥(2048 位而不是 1024 位)
  • 在证书链中添加或从证书链中删除证书
  • 更改任何 SSL 参数

如果更新 SSL 证书、密码列表或 SSL 参数,现有 SSL 连接不会中断。也就是说,所有现有连接继续使用当前设置,直到会话关闭,但所有新连接都使用新证书或新设置。要在配置更改后立即清除会话,必须禁用并重新启用每个实体。

重要提示:处于握手中间的连接或正在重新协商的会话将被终止。不允许会话重用。此外,不允许在后端重用会话多路复用。

如果更改前端参数(例如在 SSL 虚拟服务器上),则仅影响前端连接。如果更改后端参数(例如 SSL 服务或服务组上的参数),则只会影响后端连接。密码和证书等更改适用于前端和后端连接。

以下配置命令或更改会在所有受影响的 SSL 实体上触发正常的会话清理:

  1. set ssl vserver 命令
  2. set ssl service 命令
  3. set ssl servicegroup 命令
  4. set ssl profile 命令
  5. set ssl cipher \<cipherGroupName\> 命令
  6. 绑定、解除绑定和重新排序密码
  7. 绑定和解绑 ECC 曲线
  8. 插入、删除、链接和取消关联证书
配置 SSL 会话的正常清理