Citrix ADC

SSL セッションのグレースフルクリーンアップの構成

一部の操作では、セッションを突然終了するのではなく、SSLセッションを正常にクリーンアップする必要があります。このような操作の例は次のとおりです。

  • 公開されている可能性のある証明書を置き換えるための証明書の更新
  • より強力なキーを使用する(1024ビットではなく2048ビット)
  • 証明書チェーンへの証明書の追加または証明書チェーンからの証明書の削除
  • SSLパラメータのいずれかを変更する

SSL 証明書、暗号リスト、または SSL パラメータを更新しても、既存の SSL 接続は中断されません。つまり、セッションが閉じられるまで、既存の接続はすべて現在の設定を使用し続けます。ただし、新しい接続では新しい証明書または設定が使用されます。設定変更直後にセッションをクリアするには、各エンティティを無効にして再度有効にする必要があります。

重要:ハンドシェイクの途中にある接続、または再ネゴシエーション中のセッションは終了します。セッションの再利用は許可されていません。また、バックエンドでのセッション多重化の再利用は許可されません。

SSL 仮想サーバーなどのフロントエンドパラメーターを変更すると、フロントエンド接続のみが影響を受けます。SSL サービスまたはサービスグループのパラメータなどのバックエンドパラメータを変更すると、バックエンド接続のみが影響を受けます。暗号や証明書などの変更は、フロントエンド接続とバックエンド接続の両方に適用されます。

次の構成コマンドまたは変更により、影響を受けるすべての SSL エンティティでグレースフルセッションクリーンアップがトリガーされます。

  1. set ssl vserver -command
  2. set ssl service -command
  3. set ssl servicegroup -command
  4. set ssl profile -command
  5. set ssl cipher \<cipherGroupName\> -command
  6. 暗号のバインド、バインド解除、並び替え
  7. ECCカーブのバインドとバインド解除
  8. 証明書の挿入、削除、リンク、およびリンク解除
SSL セッションのグレースフルクリーンアップの構成