配置 SSL 会话的正常清理

某些操作,例如更新证书以替换可能暴露的证书、使用更强大的密钥(2048 位而不是 1024 位)、向证书链添加或删除证书,或者更改任何 SSL 参数,都应正常地清理 SSL 会话,而不是突然清理终止会议.

如果更新 SSL 证书、密码列表或 SSL 参数,现有 SSL 连接不会中断。也就是说,所有现有连接继续使用当前设置,直到会话关闭,但所有新连接都使用新证书或新设置。要在配置更改后立即清除会话,必须禁用并重新启用每个实体。

重要提示:处于握手中间的连接或正在重新协商的会话将被终止。不允许会话重用。此外,不允许在后端进行会话多路复用。

如果更改前端参数(例如在 SSL 虚拟服务器上),则仅影响前端连接。如果更改后端参数(例如 SSL 服务或服务组上的参数),则只会影响后端连接。密码和证书等更改适用于前端和后端连接。

以下配置命令或更改会在所有受影响的 SSL 实体上触发正常的会话清理:

  1. set ssl vserver 命令
  2. set ssl service 命令
  3. set ssl servicegroup 命令
  4. set ssl profile 命令
  5. set ssl cipher <cipherGroupName> 命令
  6. 绑定、解除绑定和重新排序密码
  7. 绑定和解除绑定的子曲线
  8. 插入、删除、链接和取消链接证书

配置 SSL 会话的正常清理