加密密钥自动交换设置配置流程
要使用证书验证加密密钥自动交换设置中的传送方,必须安装设备证书。
配置完IPsec后,您可以使用“Ping”命令来检查是否正确地建立了连接。但是,当ICMP在计算机端被排除在IPsec传送之外时,您无法使用“Ping”命令。此外,因为初始密钥交换期间响应缓慢,可能需要一些时间来确认已经建立了的传送。
要将加密密钥自动交换设置的传输方身份验证方法更改为“证书”,您必须首先安装并分配一个证书。有关创建和安装设备证书的详细信息,请参见设备的《用户指南》。有关向 IPsec 分配已安装证书的方法,请参阅选择用于IPsec的证书。
从Web Image Monitor以网络管理员身份登录。
有关如何登录的详细信息,请参见设备的《用户指南》。指向[设备管理],然后单击[配置]。
单击“安全”下的[IPsec]。
单击“加密密钥自动交换设置”下的 [编辑]。
在[设置1]中进行加密密钥自动交换设置。
如果要进行多次设置,选择设置次数并添加设置。单击[确定]。
在“IPsec”中为“IPsec”选择[有效]。
如果您不想将 IPsec 用于 HTTPS 传输,将“排除HTTPS通信”设为[有效]。
单击[确定]。
正在更新...会出现。等待约 1 至 2 分钟,然后单击[确定]。
单击[确定]后,如果没有重新显示上一界面,请等一会儿,然后单击 Web 浏览器的“刷新”按钮。注销。
使用Web Image Monitor,选择要用于 IPsec 的证书。使用证书前必须安装证书。有关创建和安装设备证书的详细信息,请参见设备的《用户指南》。
从Web Image Monitor以网络管理员身份登录。
有关如何登录的详细信息,请参见设备的《用户指南》。指向[设备管理],然后单击[配置]。
单击“安全”下的[设备证书]。
从“证书”下“IPsec”中的下拉列表中选择要用于 IPsec 的证书。
单击[确定]。
IPsec的证书已指定。正在更新...会出现。等待约 1 至 2 分钟,然后单击[确定]。
单击[确定]后,如果没有重新显示上一界面,请等一会儿,然后单击 Web 浏览器的“刷新”按钮。注销。
配置计算机的IPsec SA设置,以便它们与机器的安全等级完全匹配。设置方法因计算机操作系统而异。此处所示的示例流程是在选择了“验证和低等级的加密”安全性等级时使用的 Windows 10。
单击 [开始] 按钮,并单击 [Windows 系统] - [控制面板] - [系统和安全] - [Windows Defender 防火墙]。
单击 [高级设置] - [属性],然后选择 [IPsec 设置] 选项卡。
在 [IPsec 豁免] 中选择 [是],然后单击 [IPsec 默认值] 中的 [自定义]。
在 [密钥交换(主模式)] 中选择 [高级],然后单击 [自定义]。
单击 [安全方法] 中的 [添加],添加新的安全性方法。
为[ 完整性算法] 选择 [SHA-1],为 [加密算法] 选择 [3DES],为 [密钥交换算法] 选择 [Diffie-Hellman Group 14]。在 [密钥有效期] 中将 [分钟] 设为 [300],并在 [密钥交换选项] 中选择 [使用 Diffie-Hellman 增强安全性] 复选框,然后单击 [确定]。
在 [数据保护(快速模式)] 中选择 [高级],然后单击 [自定义]。
选中 [要求对使用这些设置的所有连接安全性规则进行加密] 复选框。
单击 [数据完整性和加密] 中的 [添加],添加一个新的设置。
为 [协议] 选择 [ESP],为 [加密算法] 选择 [3DES],为 [完整性算法] 选择 [SHA-1],并将 [密钥有效期] 设为“5(分钟)/100,000 (KB)”。
如果已注册 [ESP]、[3DES] 和 [SHA-1] 的组合,则无法创建新设置。在这种情况下,选择已注册的设置,单 击[编辑],并更改 [密钥有效期]。点击 [确定]。
在 [身份验证方法] 中选择 [高级],然后单击 [自定义]。
单击 [首次身份验证方法] 中的 [添加] 添加新的身份验证方法。
选择 [预共享密钥] 作为凭据类型,然后输入密钥。单击三次[确定]。
在 [带高级安全功能的 Windows Defender 防火墙] 界面中,右键单击 [连接安全规则],然后单击 [新规则]。
界面上会出现 [新连接安全规则向导]。选择 [自定义],然后单击两次 [下一步]。
选择 [请求对入站和出站连接进行身份验证],并单击 [下一步]。
选择 [默认],并单击 [下一步]。
在 [协议类型] 中选择 [任意] 或 [TCP],并单击 [下一步]。
如果选择了 [TCP],请按需指定端点端口。确保选中 [域] 复选框,并单击 [下一步]。
输入要用于 [名称] 的名称,必要时输入 [描述],并单击 [完成]。
右键单击已创建的规则,并单击 [属性]。
在 [远程计算机] 选项卡中,为 [端点 1] 和 [端点 2] 选择 [这些 IP 地址],并单击 [添加] 来设置这些 IP 地址。
为 [端点 1] 输入 PC 的 IP 地址,为 [端点 2] 输入设备的 IP 地址。在 [身份验证] 选项卡中,在 [身份验证模式] 中选择 [请求入站和出站],然后单击 [确定]。
要启用完美前向保密 (PFS),请转至第 24 步。
如果不使用 PFS,请转至第 27 步。单击 [开始] 按钮,并单击 [Windows PowerShell] - [Windows PowerShell]。
输入“Get-NetIPsecQuickModeCryptoSet”,并按 [Enter] 键。
输入“Set-NetIPsecQuickModeCryptoSet”,并按 [Enter] 键来设置“Name”和“PerfectForwardSecrecyGroup”。
对于“Name”,输入“Get-NetIPsecQuickModeCryptoSet”所显示的名称值。
对于“PerfectForwardSecrecyGroup”,指定“none/DH1/DH2/DH14”。在 [带高级安全功能的 Windows Defender 防火墙] 界面中,右键单击您已建立的规则,并单击 [新规则]。
您计算机上的 IPsec 设置会被启用。