指定计算机上的IPsec SA设置,使之与打印机上的打印机安全等级指定的设置完全相同。设置方法因计算机操作系统而异。此处所示的示例步骤是在选择验证和低等级的加密时使用Windows 7。
在[开始]菜单中,单击[控制面板],再单击[系统和安全],然后单击[管理工具]。
如果在Windows 8下使用,指向屏幕右下侧将显示设置菜单,然后单击[设置]、[控制面板]、[系统和安全]和[管理工具]。
双击[本地安全策略]。
如果出现“用户帐户控制”对话框,请单击[是]。
单击[IP安全策略,在本地计算机]。
在“操作”菜单中,单击[创建IP安全策略]。
出现IP安全策略向导。
单击[下一步]。
在“名称”中输入安全策略名称,然后单击[下一步]。
清除“激活默认响应规则”复选框,然后单击[下一步]。
选中“编辑属性”,然后单击[完成]。
在“常规”选项卡中,单击[设置]。
在“身份验证和生成新密钥间隔”中,输入在“加密密钥自动交换设置阶段1”中的打印机上指定的相同有效期(分钟),然后单击[方法]。
确认“安全方法优先顺序”中的散列算法(“完整性”)、加密算法(“加密”)和“Diffie-Hellman组”设置全部与“加密密钥自动交换设置阶段1”中的打印机上指定的设置一致。
如果没有显示设置,单击[添加]。
单击[确定]两次。
在“规则”选项卡中单击[添加]。
出现安全规则向导。
单击[下一步]。
选择“此规则不指定通道”,然后单击[下一步]。
选择IPsec的网络类型,然后单击[下一步]。
如果在打印机上的“加密密钥自动交换设置”中选择“证书”作为验证方法,请指定设备证书。如果选择“PSK”,请用预共享密钥在打印机上输入指定的相同PSK文本。
在IP筛选器列表中单击[添加]。
在[名称]中,输入IP筛选器名称,然后单击[添加]。
出现IP筛选器向导。
单击[下一步]。
如果需要,请输入IP筛选器说明,然后单击[下一步]。
在“源地址”中选择“我的IP地址”,然后单击[下一步]。
在“目标地址”中选择“一个特定的 IP 地址或子网”,输入打印机的IP地址,然后单击[下一步]。
选择IPsec的协议类型,然后单击[下一步]。
单击[完成]。
单击[确定]。
选择刚创建的IP筛选器,然后单击[下一步]。
单击[添加]。
此时会出现筛选器操作向导。
单击[下一步]。
在[名称]中,输入IP筛选器操作名称,然后单击[下一步]。
选择“协商安全”,然后单击[下一步]。
选择“如果建立了安全连接,则允许不安全的通信。”,然后单击[下一步]。
选择“自定义”,然后单击[设置]。
在“完整性算法”中,选择在“加密密钥自动交换设置阶段2”中的打印机上指定的验证算法。
在“加密算法”中,选择在“加密密钥自动交换设置阶段2”中的打印机上指定的加密算法。
在会话密钥设置中,选择“生成新密钥间隔”,然后输入在“加密密钥自动交换设置阶段2”中的打印机上指定的有效期(秒)。
单击[确定]。
单击[下一步]。
单击[完成]。
选择刚创建的筛选器操作,然后单击[下一步]。
如果您在“加密密钥自动交换设置”中指定“验证和高等级的加密”安全等级,请在筛选器操作属性屏幕中选择“使用会话密钥完全向前保密(PFS)”复选框。 如果在Windows中使用PFS,则阶段2中使用的PFS组号将在阶段1从Diffie-Hellman组号自动议定(在步骤11中设置)。因此,如果您更改了本打印机上自动设置中指定的安全级别,并且出现了“用户设定”,则必须在本打印机上设置相同的“阶段1 Diffie-Hellman组”和“阶段2 PFS”组号以便建立IPsec传输。
选择验证方法,然后单击[下一步]。
如果在打印机上的“加密密钥自动交换设置”中选择“证书”作为验证方法,请指定设备证书。如果选择“PSK”,请用预共享密钥在打印机上输入指定的相同PSK文本。
单击[完成]。
如果您正使用IPv6,则必须从步骤13开始重复这一过程,并添加ICMPv6为例外。
执行到步骤23时,请选择[58]作为“其他”目标协议类型的协议编号,然后将[协商安全]设置为[允许]。
单击[确定]。
新的IP安全策略(IPsec设置)即被指定。
选择刚创建的安全策略,右键单击,然后单击[分配]。
启用计算机上的IPsec设置。
要禁用计算机的IPsec设置,选择安全策略,右键单击,然后单击[取消分配]。