セキュリティー・アソシエーションがリフレッシュされると、暗号鍵が変更されます。セキュリティー・アソシエーションを定期的にリフレッシュすることで、鍵が外部の第三者に漏れるのを防ぐことができます。フェーズ 1 およびフェーズ 2 のセキュリティー・アソシエーションは、IKEv1 用に 2 つの IKE ピア間でネゴシエーションされたか、または IKEv2 用に構成された存続時間またはライフサイズに基づいて、自動的にリフレッシュされます。存続時間の有効期限切れによって IKEv2 フェーズ 1 セキュリティー・アソシエーションがリフレッシュされると、暗号鍵は変更されますが、ピアの再認証は行われません。ピアの再認証を行わないで鍵を変更することによって、CPU コストが削減されます。
セキュリティー・アソシエーションのリフレッシュは z/OS® UNIX コマンド行からも行うことができますが、通常は、構成されたインターバルで鍵のリフレッシュを IKE デーモンが行うため、コマンド行からのリフレッシュは例外的な条件下でのみ行うようにしてください。例外的な条件とは、例えば、鍵の漏えいが生じた場合や、リモート・ホストからの IKE 情報メッセージの受信が失敗した場合などです。 IKEv1 および IKEv2 フェーズ 1 セキュリティー・アソシエーションの両方とも、z/OS UNIX コマンド行からのリフレッシュには再認証と鍵の再生成が含まれます。