Konfigurera datorns IPsec SA-inställningar så att de matchar maskinens säkerhetsnivå exakt. Inställningsmetoderna varierar efter datorns operativsystem. I det här exemplet används Windows 7 när säkerhetsnivån "Autentisering och låg krypteringsnivå" har valts.
På [Start]-menyn, klicka på [Kontrollpanel], klicka på [System och säkerhet] och klicka sedan på [Administrationsverktyg].
Under Windows 8, dra muspekaren över övre och nedre högra hörnet av skärmen och klicka sedan på [Inställningar], [Kontrollpanel], [System och säkerhet] och sedan [Administrationsverktyg].
Om du använder Windows XP, på [Start]-menyn, klicka på [Kontrollpanel], [Prestanda och underhåll] och klicka sedan på [Administrationsverktyg].
Dubbelklicka på [Lokal säkerhetspolicy].
Om dialogrutan "Kontroll av användarkonto" visas, klicka på [Ja].
Klicka på [IP-säkerhetsprincip på lokal dator].
I Åtgärdsmenyn, klicka på [Skapa IP-säkerhetsprincip].
Guiden IP Säkerhetsprincip visas.
Klicka på [Nästa].
Ange ett namn för säkerhetsprincipen under "Namn" och klicka sedan på [Nästa].
Avmarkera kryssrutan "Aktivera standardresponsregeln" och klicka på [Nästa].
Välj "Redigera egenskaper" och klicka sedan på [Slutför].
På fliken "Allmänt", klicka på [Inställningar].
Om du använder Windows XP, på fliken "Allmänt", klicka på [Avancerat].
I "Autentisera och generera en ny kod efter varje" anger du samma giltighetstid (i minuter) som angivits på maskinen under "Inställningar för automatiskt byte av krypteringsnycklar Fas 1". Klicka sedan på [Metoder].
Kontrollera att hashalgoritmen ("Integrity"), krypteringsalgoritmen ("Encryption") och inställningar för "Diffie-Hellman-grupp" i "Ordning för säkerhetsmetod" matchar det som angetts i "Inställningar för automatiskt byte av krypteringsnycklar Fas 1".
Om inställningarna inte visas, klicka på [Lägg till].
Klicka på [OK] två gånger.
Klicka på [Lägg till] på fliken "Regler".
Guiden Säkerhetsregel visas.
Klicka på [Nästa].
Välj "Den här regeln anger inte någon tunnel" och klicka på [Nästa].
Välj typ av nätverk för IPsec och klicka på [Nästa].
Om du har Windows XP väljer du autentiseringsmetod och klickar sedan på [Nästa]. Om du har Windows 7/8 går du till steg 18.
Om du väljer "Certificate" som autentiseringsmetod i "Inställningar för automatiskt byte av krypteringsnycklar" på maskinen ska du ange enhetscertifikatet. Om du väljer "PSK", ange då samma PSK-text som angivits på maskinen med den i förväg delade nyckeln.
Klicka på [Lägg till] i listan med IP-filter.
Under [Namn], ange ett IP-filternamn. Klicka sedan på [Lägg till].
Guiden IP-filter visas.
Klicka på [Nästa].
Vid behov anger du en beskrivning av IP-filtret och klickar sedan på [Nästa].
Om du har Windows XP går du till steg 22.
Välj "Min IP-adress" i fältet "Källadress" och klicka sedan på [Nästa].
Välj "En specifik IP-adress eller subnät" i "Destinationsadress", ange maskinens IP-adress och klicka på [Nästa].
Om du använder Windows XP, välj "En specifik IP-adress" och klicka sedan på [Nästa].
Välj protokolltyp för IPsec och klicka på [Nästa].
Om du använder IPsec med IPv6, välj "58" som protokollnummer för mål-protokolltypen "Annat".
Klicka på [Slutför].
Klicka på [OK].
Välj IP-filtret som just skapades och klicka på [Nästa].
Klicka på [Lägg till].
Guiden filteråtgärder visas.
Klicka på [Nästa].
Under [Namn], ange ett IP-filteråtgärdsnamn. Klicka sedan på [Nästa].
Välj "Förhandla om säkerhetsnivå" och klicka sedan på [Nästa].
Välj "Tillåt oskyddad kommunikation om en säker anslutning upprättas.", sedan på [Nästa].
Om du använder Windows XP, välj "Använd osäker kommunikation" och klicka sedan på [Nästa].
Välj "Anpassad" och klicka på [Inställningar].
I "Integrationsalgoritm" väljer du den autentiseringsalgoritm som angivits på maskinen "Inställningar för automatiskt byte av krypteringsnycklar Fas 2".
I "Krypteringsalgoritm" väljer du den krypteringsalgoritm som angivits på maskinen i "Inställningar för automatiskt byte av krypteringsnycklar Fas 2".
I inställningarna för Sessionskod, välj "Skapa en ny kod efter" och ange den giltighetsperiod (i sekunder) som angivits för maskinen i "Inställningar för automatiskt byte av krypteringsnycklar Fas 2".
Klicka på [OK].
Klicka på [Nästa].
Klicka på [Slutför].
Välj filteråtgärden som just skapades och klicka sedan på [Nästa].
Om du anger "Inställningar för automatiskt byte av krypteringsnycklar" till "Autentisering och hög krypteringsnivå" ska du välja den IP-filter-åtgärd som precis skapades. Klicka på [Redigera] och markera sedan "Använd sessionsnyckel för PFS (Perfect Forward Secrecy)" i dialogrutan för egenskaper för filteråtgärder. När du använder PFS i Windows, förhandlas PFS-gruppnumret som används i fas 2 automatiskt i fas 1 från Diffie-Hellman-Gruppnumret (inställt i steg 11). Om du ändrar säkerhetsnivån som anger automatiska inställningar på maskinen och “Användarinställning” visas, måste du ställa in samma gruppnummer för "Fas 1 Diffie-Hellman Group" och "Fas 2 PFS" på maskinen för att skapa en IPsec-överföring.
Välj autentiseringsmetod och klicka sedan på [Nästa]. Om du har Windows XP går du till steg 42.
Om du väljer "Certificate" som autentiseringsmetod i "Inställningar för automatiskt byte av krypteringsnycklar" på maskinen ska du ange enhetscertifikatet. Om du väljer "PSK", ange då samma PSK-text som angivits på maskinen med den i förväg delade nyckeln.
Klicka på [Slutför].
Klicka på [OK].
Om du använder Windows XP, klicka på [Stäng].
Den nya IP-säkerhetsrincipen (IPsec-inställningar) anges.
Välj den säkerhetsprincip som precis skapades, högerklicka och klicka på [Tilldela].
Datorns IPsec-inställningar är aktiverade.
För att avaktivera datorns IPsec-inställningar, markera säkerhetspolicy, högerklicka och klicka sedan på [Tilldela inte].