Flujo de configuración de Ajustes de cambio automático de clave de cifrado
Para utilizar un certificado para autenticar el socio de transmisión en los ajustes de cambio automático de clave de cifrado, debe instalarse un certificado del dispositivo.
Después de configurar el IPsec, puede utilizar el comando "Ping" para comprobar si está establecida la conexión correctamente. Sin embargo, no puede utilizar el comando "Ping" cuando se ha excluido ICMP de la transmisión IPsec en el entorno del ordenador. También, debido a que la respuesta es muy lenta durante el intercambio de clave inicial, llevará unos momentos confirmar que se ha establecido la transmisión.
Para cambiar el método de autenticación del partner de transmisión para la configuración del intercambio automático de claves de cifrado a "Certificado", primero debe instalar y asignar un certificado. Para obtener información detallada acerca de cómo crear e instalar un certificado de dispositivo, consulte la Guía de usuario del dispositivo. Para el método de asignación de certificados instalados a IPsec, consulte Selección del certificado para IPsec.
Inicie la sesión como administrador de la red desde Web Image Monitor.
Para obtener información detallada acerca de cómo iniciar sesión, consulte la Guía de usuario del dispositivo.Apunte a [Gestión de dispositivos] y haga clic en [Configuración].
Haga clic en [IPsec] bajo "Seguridad".
Haga clic en [Editar] bajo "Ajustes de cambio automático de clave de cifrado".
Realice los ajustes de cambio automático de clave de cifrado en [Ajustes 1].
Si quiere realizar varios ajustes, seleccione el número de ajustes y agregue ajustes.Haga clic en [OK].
Seleccione [Activo] para "IPsec" en "IPsec".
Ajuste "Excluir comunicación HTTPS" a [Activo] si no desea utilizar IPsec para la transmisión HTTPS.
Haga clic en [OK].
Aparece Actualizando.... Espere 1 o 2 minutos y, a continuación, haga clic en [OK].
Si no vuelve a aparecer la pantalla anterior después de hacer clic en [OK], espere un momento y, a continuación, haga clic en el botón de actualización del navegador web.Finalice la sesión.
Mediante Web Image Monitor, seleccione el certificado a utilizarse para IPsec. Debe instalar el certificado antes de utilizarlo. Para obtener información detallada acerca de cómo crear e instalar un certificado de dispositivo, consulte la Guía de usuario del dispositivo.
Inicie la sesión como administrador de la red desde Web Image Monitor.
Para obtener información detallada acerca de cómo iniciar sesión, consulte la Guía de usuario del dispositivo.Apunte a [Gestión de dispositivos] y haga clic en [Configuración].
Haga clic en [Certificado del dispositivo] bajo "Seguridad".
Seleccione el certificado que se utilizará para IPsec en el cuadro de lista desplegable de "IPsec" bajo "Certificación".
Haga clic en [OK].
El certificado para IPsec está especificado.Aparece Actualizando.... Espere 1 o 2 minutos y, a continuación, haga clic en [OK].
Si no vuelve a aparecer la pantalla anterior después de hacer clic en [OK], espere un momento y, a continuación, haga clic en el botón de actualización del navegador web.Finalice la sesión.
Configure los ajustes IPsec SA del ordenador de modo que se ajusten exactamente al nivel de seguridad de la máquina en la máquina. Los métodos de ajuste difieren según el sistema operativo de la máquina. El procedimiento de ejemplo que se muestra aquí utiliza Windows 10 cuando se selecciona el nivel de seguridad "Autenticación y cifrado de nivel bajo".
Haga clic en el botón [Inicio] y, a continuación, en [Sistema Windows] - [Panel de mandos] - [Sistema y seguridad] - [Firewall de Windows Defender].
Haga clic en [Configuración avanzada] - [Propiedades] y seleccione la ficha [Configuración IPsec].
Seleccione [Sí] en [Exenciones IPsec] y, a continuación, haga clic en [Personalizar] en [IPsec por defecto].
Seleccione [Avanzado] en [Intercambio de claves (modo principal)] y, a continuación, haga clic en [Personalizar].
Haga clic en [Añadir] en [Métodos de seguridad] para añadir un nuevo método de seguridad.
Seleccione [SHA-1] para [Algoritmo de integridad], [3DES] para [Algoritmo de cifrado], [Diffie-Hellman Grupo 14] para [Algoritmo de intercambio de claves].Establezca [Minutos] en [300] en [Duración de las claves] y seleccione la casilla de verificación [Usar Diffie-Hellman para mayor seguridad] en [Opciones de intercambio de claves] y, a continuación, haga clic en [OK].
Seleccione [Avanzado] en [Protección de datos (modo rápido)] y, a continuación, haga clic en [Personalizar].
Seleccione la casilla de verificación [Requerir cifrado para todas las reglas de seguridad de conexión que utilicen esta configuración].
Haga clic en [Añadir] en [Integridad y cifrado de datos] para añadir una nueva configuración.
Seleccione [ESP] para [Protocolo], [3DES] para [Algoritmo de cifrado], [SHA-1] para [Algoritmo de integridad] y configure [Duración de la clave] en "5 (minutos)/100.000 (KB)".
Si ya se ha registrado una combinación de [ESP], [3DES] y [SHA-1], no se puede crear una nueva configuración. En ese caso, seleccione la configuración registrada, haga clic en [Editar] y cambie [Duración de las claves].Haga clic en [OK].
Seleccione [Avanzado] en [Método de autenticación] y, a continuación, haga clic en [Personalizar].
Haga clic en [Añadir] en [Primeros métodos de autenticación] para añadir un nuevo método de autenticación.
Seleccione [Clave precompartida] como tipo de credencial e introduzca la clave.Pulse [OK] tres veces.
En la pantalla [Firewall de Windows Defender con seguridad avanzada], haga clic con el botón derecho en [Reglas de seguridad de conexión] y haga clic en [Nueva regla].
Aparece [Asistente para nuevas reglas de seguridad de conexión].Seleccione [Personalizado] y, a continuación, haga clic en [Siguiente] dos veces.
Seleccione [Solicitar autenticación para conexiones entrantes y salientes] y haga clic en [Siguiente].
Seleccione [Predeterminado] y haga clic en [Siguiente].
Seleccione [Cualquiera] o [TCP] en [Tipo de protocolo] y haga clic en [Siguiente].
Si selecciona [TCP], especifique el puerto del punto final si es necesario.Asegúrese de que la casilla [Dominio] está seleccionada y haga clic en [Siguiente].
Introduzca un nombre que desee utilizar para [Nombre], introduzca una [Descripción] si es necesario y haga clic en [Finalizar].
Haga clic con el botón derecho en la regla creada y pulse [Propiedades].
En la ficha [Equipos remotos], seleccione [Estas direcciones IP] para [Endpoint 1] y [Endpoint 2] y haga clic en [Agregar] para configurar las direcciones IP.
Introduzca la dirección IP del PC para [Endpoint 1] y la dirección IP del dispositivo para [Endpoint 2].En la ficha [Autenticación], seleccione [Solicitud entrante y saliente] en [Modo de autenticación] y haga clic en [OK].
Para activar Perfect Forward Secrecy (PFS), vaya al paso 24.
Si no se va a utilizar el PFS, vaya al paso 27.Haga clic en el botón [Inicio] y haga clic en [Windows PowerShell] - [Windows PowerShell].
Introduzca "Get-NetIPsecQuickModeCryptoSet" y pulse la tecla [Intro].
Introduzca "Set-NetIPsecQuickModeCryptoSet" y pulse la tecla [Intro] para configurar "Name" y "PerfectForwardSecrecyGroup".
Para "Nombre", introduzca el valor del nombre mostrado por "Get-NetIPsecQuickModeCryptoSet".
Para "PerfectForwardSecrecyGroup", especifique "none/DH1/DH2/DH14".En la pantalla [Firewall de Windows Defender con seguridad avanzada], haga clic con el botón derecho del ratón en la regla que ha creado y haga clic en [Activar regla].
Se habilitará la configuración IPsec en su ordenador.