Configuratiestroom automatische uitwisselinstellingen van coderingssleutel
Als u coderingssleutel auto exchange heeft ingesteld en gebruik wilt maken van een certificaat om de transmissiepartner te verifiëren, moet een apparaatcertificaat zijn geïnstalleerd.
Nadat IPsec is geconfigureerd, kunt u het "Ping"-commando gebruiken om te controleren of de verbinding correct tot stand is gebracht. U kunt echter geen gebruikmaken van het "Ping"-commando als ICMP aan de kant van de computer is uitgesloten van IPsec-verzendingen. Omdat de respons langzaam is tijdens de eerste sleuteluitwisseling, kan het controleren of verzending tot stand is gebracht ook enige tijd duren.
Om de verzendpartner-verificatiemethode te wijzigen in "Certificaat", bij Coderingssleutel Instellingen Auto Exchange, moet u eerst een certificaat installeren en toewijzen. Voor meer informatie over het aanmaken en installeren van een apparaatcertificaat, zie de Gebruikershandleiding van uw apparaat. Zie Het certificaat voor IPsec selecteren voor meer informatie over het toewijzen van geïnstalleerde certificaten aan IPsec.
Log vanuit Web Image Monitor in als de netwerkbeheerder.
Voor meer informatie over hoe u moet inloggen, zie de Gebruikershandleiding van uw apparaat.Wijs [Apparaatbeheer] aan en klik op [Configuratie].
Klik op [IPsec] onder "Beveiliging".
Klik op [Bewerken] onder "automatische uitwisselinstellingen van coderingssleutel".
Geef instellingen voor Coderingssleutel Auto Exchange op bij [Instellingen 1].
Als u meerdere instellingen wilt opgeven, selecteer dan het nummer van de instelling en voeg de instellingen toe.Klik op [OK].
Selecteer [Actief] voor "IPsec" in "IPsec".
Stel "HTTPS-communicatie uitsluiten" in op [Actief] als u IPsec niet wilt gebruiken voor HTTPS-verzending.
Klik op [OK].
Bezig met bijwerken... verschijnt. Wacht ongeveer 1-2 minuten en klik vervolgens op [OK].
Als het vorige scherm niet wordt weergegeven nadat u op [OK] heeft geklikt, wacht u even en vernieuwt u vervolgens de internetbrowser.Log uit.
In Web Image Monitor kunt u het certificaat selecteren dat moet worden gebruikt voor IPsec. U moet het certificaat installeren voordat u het kunt gebruiken. Voor meer informatie over het aanmaken en installeren van een apparaatcertificaat, zie de Gebruikershandleiding van uw apparaat.
Log vanuit Web Image Monitor in als de netwerkbeheerder.
Voor meer informatie over hoe u moet inloggen, zie de Gebruikershandleiding van uw apparaat.Wijs [Apparaatbeheer] aan en klik op [Configuratie].
Klik op [Apparaatcertificaat] onder "Beveiliging".
Selecteer het certificaat dat u wilt gebruiken voor IPsec in de vervolgkeuzelijst "IPsec" onder "Certificaat".
Klik op [OK].
Het certificaat voor IPsec wordt geselecteerd.Bezig met bijwerken... verschijnt. Wacht ongeveer 1-2 minuten en klik vervolgens op [OK].
Als het vorige scherm niet wordt weergegeven nadat u op [OK] heeft geklikt, wacht u even en vernieuwt u vervolgens de internetbrowser.Log uit.
Configureer de IPsec SA-instellingen van de computer, zodat deze exact overeenkomen met het beveiligingsniveau van het apparaat. Instellingsmethodes verschillen afhankelijk van het bedieningssysteem van de computer. De hier getoonde voorbeeldprocedure maakt gebruik van Windows 10 als het beveiligingsniveau "Verificatie en laag niveau-codering" wordt geselecteerd.
Klik op de knop [Start] en klik op [Windows Systeembeheer] - [Bedieningspaneel] - [Systeem en beveiliging] - [Windows Defender Firewall].
Klik op [Geavanceerde instellingen] - [Eigenschappen] en selecteer het tabblad [IPsec-instellingen].
Selecteer [Ja] bij [IPsec-uitsluitingen] en klik vervolgens op [Aanpassen] bij [Standaardinstellingen voor IPsec].
Selecteer [Geavanceerd] bij [Sleuteluitwisseling (hoofdmodus)] en klik vervolgens op [Aanpassen].
Klik op [Toevoegen] bij [Beveiligingsmethoden] om een nieuwe beveiligingsmethode toe te voegen.
Selecteer [SHA-1] voor [Integriteitsalgoritme], [3DES] voor [Versleutelingsalgoritme], [Diffie-Hellman Group 14] voor [Algoritme voor sleuteluitwisseling].Stel [Minuten] in op [300] bij [Levensduur van sleutels] en schakel het selectievakje [Diffie-Hellman gebruiken voor verbeterde beveiliging] in bij [Opties sleuteluitwisseling] en klik vervolgens op [OK].
Selecteer [Geavanceerd] bij [Gegevensbeveiliging (snelle modus)] en klik op [Aanpassen].
Schakel het selectievakje [Versleuteling vereisen voor alle beveiligingsregels voor verbindingen die deze instellingen gebruiken] in.
Klik op [Toevoegen] in [Gegevensintegriteit en -versleuteling] om een nieuwe instelling toe te voegen.
Selecteer [ESP] voor [Protocol], [3DES] voor [Versleutelingsalgoritme], [SHA-1] voor [Integriteitsalgoritme] en stel [Levensduur van sleutels] in op "5 (minuten)/100.000 (KB)".
Als er al een combinatie van [ESP], [3DES] en [SHA-1] is geregistreerd, kan er geen nieuwe instelling worden gemaakt. In dat geval selecteert u de geregistreerde instelling, klikt u op [Bewerken] en wijzigt u de waarde voor [Levensduur van sleutels].Klik op [OK].
Selecteer [Geavanceerd] bij [Authenticatiemethode] en klik vervolgens op [Aanpassen].
Klik op [Toevoegen] onder [Eerste authenticatiemethode] om een nieuwe authenticatiemethode toe te voegen.
Selecteer [Vooraf gedeelde sleutel] als type inloggegevens en voer de sleutel in.Klik drie keer op [OK].
Klik in het scherm [Windows Defender Firewall met geavanceerde beveiliging] met op [Beveiligingsregels voor verbinding] en klik op [Nieuwe regel].
De [Wizard Nieuwe regel voor verbindingsbeveiliging] verschijnt.Selecteer [Aangepast] en klik vervolgens twee keer op [Volgende].
Selecteer [Authenticatie voor binnenkomende en uitgaande verbindingen aanvragen] en klik op [Volgende].
Selecteer [Standaard] en klik op [Volgende].
Selecteer [Willekeurig] of [TCP] bij [Type protocol] en klik op [Volgende].
Als u [TCP] heeft geselecteerd, geef dan indien nodig de poort van het eindpunt op.Zorg ervoor dat het selectievakje [Domein] is ingeschakeld en klik op [Volgende].
Typ in het veld [Naam] de naam die u wilt gebruiken, voer eventueel een beschrijving in bij [Beschrijving] en klik op [Voltooien].
Klik met de rechtermuisknop op de gemaakte regel en klik vervolgens op [Eigenschappen].
Selecteer op het tabblad [Externe computers] [Deze IP-adressen] voor [Eindpunt 1] en [Eindpunt 2] en klik op [Toevoegen] om de IP-adressen in te stellen.
Voer het IP-adres van de pc in bij [Eindpunt 1] en het IP-adres van het apparaat bij [Eindpunt 2].Selecteer op het tabblad [Authenticatie] [Vragen bij binnenkomende en uitgaande verbindingen] bij [Authenticatiemodus] en klik op [OK].
Ga verder naar stap 24 om PFS (Perfect Forward Secrecy) in te schakelen.
Als PFS niet wordt gebruikt, ga dan verder met stap 27.Klik op de knop [Start] en klik op [Windows PowerShell] - [Windows PowerShell].
Voer "Get-NetIPsecQuickModeCryptoSet" in en druk op [Enter].
Voer "Set-NetIPsecQuickModeCryptoSet" in en druk op [Enter] om "Name" en "PerfectForwardSecrecyGroup" in te stellen.
Voer voor "Name" de waarde in van de naam die wordt weergegeven door "Get-NetIPsecQuickModeCryptoSet".
Geef voor "PerfectForwardSecrecyGroup" "none/DH1/DH2/DH14" op.Klik op het scherm [Windows Defender Firewall met geavanceerde beveiliging] met de rechtermuisknop op de regel die u heeft gemaakt en klik op [Regel inschakelen].
De IPsec-instellingen op uw computer worden ingeschakeld.