Flux de configuration Paramètres d'échange automatique de clés de cryptage
Pour utiliser un certificat afin d'authentifier le partenaire de transmission en mode d'échange automatique de clés de cryptage, un certificat de périphérique doit être installé.
Une fois la configuration d'IPsec effectuée, vous pouvez utiliser la commande Ping afin de vérifier si la connexion a été établie correctement. En revanche, vous ne pouvez pas utiliser la commande Ping lorsque le protocole ICMP est exclu de l'échange IPsec du côté de l'ordinateur. De même, dans la mesure où les temps de réponse sont élevés au cours de l'échange de clés initial, la confirmation de l'établissement de la connexion peut prendre un certain temps.
Pour modifier la méthode d'authentification du partenaire de transmission pour les paramètres d'échange automatique de clés de cryptage et la définir sur "Certificat", vous devez d'abord installer et attribuer un certificat. Pour plus de détails sur la création et l'installation d'un certificat d'appareil, consultez le Guide utilisateur correspondant à votre appareil. Pour plus d'informations sur la méthode d'attribution à IPsec de certificats installés, consultez Sélection du certificat pour IPsec.
Connectez-vous en tant qu’administrateur réseau à partir de Web Image Monitor.
Pour plus d'informations sur la procédure de connexion, reportez-vous au Guide utilisateur de votre appareil.Pointez sur [Gestion de périphérique], et cliquez ensuite sur [Configuration].
Cliquez sur [IPsec] sous "Sécurité".
Cliquez sur [Éditer] sous "Paramètres d'échange automatique de clés de cryptage".
Définissez les paramètres de l'échange automatique de clés de cryptage dans [Paramètres 1].
Si vous souhaitez définir plusieurs paramètres, sélectionnez leur nombre, puis ajoutez des paramètres.Cliquez sur [OK].
Sélectionnez [Actif] pour "IPsec" dans "IPsec".
Définissez "Exclure la communication HTTPS" sur [Actif] si vous ne voulez pas utiliser IPsec pour la transmission HTTPS.
Cliquez sur [OK].
Mise à jour en cours... saffiche. Patientez une ou deux minutes, puis cliquez sur [OK].
Si l'écran précédent ne réapparaît pas après avoir cliqué sur [OK], patientez un moment et cliquez sur le bouton d'actualisation du navigateur Web.Déconnectez-vous.
Sous Web Image Monitor, sélectionnez le certificat à utiliser avec IPsec. Vous devez d'abord installer le certificat avant de pouvoir l'utiliser. Pour plus de détails sur la création et l'installation d'un certificat d'appareil, consultez le Guide utilisateur correspondant à votre appareil.
Connectez-vous en tant qu’administrateur réseau à partir de Web Image Monitor.
Pour plus d'informations sur la procédure de connexion, reportez-vous au Guide utilisateur de votre appareil.Pointez sur [Gestion de périphérique], et cliquez ensuite sur [Configuration].
Cliquez sur [Certificat de périphérique] sous "Sécurité".
Sélectionnez le certificat à utiliser pour IPsec dans la liste déroulante dans "IPsec" sous "Certification".
Cliquez sur [OK].
Le certificat à utiliser avec IPsec est défini.Mise à jour en cours... saffiche. Patientez une ou deux minutes, puis cliquez sur [OK].
Si l'écran précédent ne réapparaît pas après avoir cliqué sur [OK], patientez un moment et cliquez sur le bouton d'actualisation du navigateur Web.Déconnectez-vous.
Configurez les paramètres IPsec SA de l'ordinateur de manière à les faire correspondre exactement au niveau de sécurité de l'appareil. Les méthodes de paramétrage varient selon le système d'exploitation de l'ordinateur. Dans l'exemple de procédure ci-après, il est admis que vous utilisez Windows 10 et que le niveau de sécurité "Authentification et faible niveau de cryptage" est sélectionné.
Cliquez sur le bouton [Départ], puis sur [Système Windows] - [Panneau de commande] - [Système et sécurité] - [Pare-feu Windows Defender].
Cliquez sur [Paramètres avancés] - [Propriétés], puis sélectionnez l'onglet [Paramètres IPsec].
Sélectionnez [Oui] dans [Exemptions IPsec], puis cliquez sur [Personnaliser…] dans [Valeurs par défaut IPsec].
Sélectionnez [Avancée] dans [Échange de clé (mode principal)], puis cliquez sur [Personnaliser…].
Cliquez sur [Ajouter…] dans [Méthodes de sécurité] pour ajouter une nouvelle méthode de sécurité.
Sélectionnez [SHA-1] pour [Intégrité], [3DES] pour [Chiffrement], [Diffie-Hellman Group 14] pour [Algorithme d'échange de clés].Définissez [Minutes] sur [300] dans [Durées de vie des clés], cochez la case [Utiliser Diffie-Hellman pour une sécurité accrue] dans [Options d'échange de clés], puis cliquez sur [OK].
Sélectionnez [Avancée] dans [Protection des données (mode rapide)], puis cliquez sur [Personnaliser…].
Cochez la case [Demander le chiffrement de toutes les règles de sécurité de connexion qui utilisent ces paramètres].
Cliquez sur [Ajouter…] dans [Intégrité de données et chiffrement] pour ajouter un nouveau paramètre.
Sélectionnez [ESP] dans [Protocole], [3DES] dans [Algorithme de cryptage], [SHA-1] dans [Algorithme d'intégrité] et définissez [Durées de vie des clés] sur « 5 (minutes)/100 000 (Ko) ».
Si une combinaison [ESP], [3DES] et [SHA-1] a déjà été enregistrée, vous ne pourrez pas créer de nouveau paramètre. Dans ce cas, sélectionnez le paramètre enregistré, cliquez sur [Modifier…] et modifiez [Durées de vie des clés].Cliquez sur [OK].
Sélectionnez [Avancée] dans [Méthode d'authentification], puis cliquez sur [Personnaliser…].
Cliquez sur [Ajouter…] dans [Premières méthodes d'authentification] pour ajouter une nouvelle méthode d'authentification.
Sélectionnez [Clé pré-partagée] comme type d'identifiant, puis saisissez la clé.Cliquez trois fois sur [OK].
Dans l'écran [Pare-feu Windows Defender avec fonctions avancées de sécurité], effectuez un clic droit sur [Règles de sécurité de connexion], puis cliquez sur [Nouvelle règle…].
L'écran [Assistant Nouvelle règle de sécurité de connexion] s'affiche.Sélectionnez [Personnalisée], puis cliquez deux fois sur [Suivant].
Sélectionnez [Demander l'authentification des connexions entrantes et sortantes] et cliquez sur [Suivant].
Sélectionnez [Par défaut] et cliquez sur [Suivant].
Sélectionnez [Tous] ou [TCP] dans [Type de protocole] et cliquez sur [Suivant].
Si [TCP] est sélectionné, spécifiez le port du point de terminaison si nécessaire.Assurez-vous que la case [Domaine] est cochée, puis cliquez sur [Suivant].
Saisissez le nom que vous souhaitez utiliser pour [Nom], saisissez une [Description] si nécessaire, puis cliquez sur [Terminer].
Effectuez un clic droit sur la règle créée et cliquez sur [Propriétés].
Dans l'onglet [Ordinateurs distants], sélectionnez [Ces adresses IP] pour [Point de terminaison 1] et [Point de terminaison 2], puis cliquez sur [Ajouter] pour définir les adresses IP.
Saisissez l'adresse IP du PC pour [Point de terminaison 1] et l'adresse IP du périphérique pour [Point de terminaison 2].Dans l'onglet [Authentification], sélectionnez [Demander l'authentification des connexions entrantes et sortantes] dans [Mode d'authentification], puis cliquez sur [OK].
Pour activer la fonction PFS (Perfect Forward Secrecy), passez à l'étape 24.
Si vous n'utilisez pas la fonction PFS, passez à l'étape 27.Cliquez sur le bouton [Départ], puis sur [Windows PowerShell] - [Windows PowerShell].
Saisissez « Get-NetIPsecQuickModeCryptoSet » et appuyez sur la touche [Entrée].
Saisissez « Set-NetIPsecQuickModeCryptoSet » et appuyez sur la touche [Entrée] pour définir « Name » et « PerfectForwardSecrecyGroup ».
Pour « Name », saisissez la valeur du nom affiché par « Get-NetIPsecQuickModeCryptoSet ».
Pour « PerfectForwardSecrecyGroup », spécifiez « none/DH1/DH2/DH14 ».Dans l'écran [Pare-feu Windows Defender avec fonctions avancées de sécurité], effectuez un clic droit sur la règle que vous avez créée, puis cliquez sur [Activer la règle].
Les paramètres IPsec de votre ordinateur sont activés.