加密金鑰自動交換設定配置流程
若要使用憑證在加密金鑰自動交換設定驗證傳送夥伴,則必須安裝裝置憑證。
在設定IPsec之後,您可以使用「Ping」命令來檢查是否已正確建立連線。但是,當從電腦端的IPsec傳送排除ICMP時,則無法使用「Ping」命令。同時,因為初始金鑰交換期間的回應較慢,所以,可能需要一些時間,才能確認傳送已建立。
要將加密金鑰自動交換設定的傳輸夥伴驗證方式變更為「憑證」,首先必須安裝及指派一個憑證。關於建立與安裝裝置憑證的詳細資訊,請參閱您裝置的「使用者指南」。關於指派已安裝憑證給 IPsec 的方法,請參閱選擇IPsec的憑證。
從Web Image Monitor以網路管理員身份登入。
關於登入方法的詳細資訊,請參閱您裝置的「使用者指南」。指向[裝置管理],然後按一下[設定]。
按一下「安全」下的[IPsec]。
按一下「加密金鑰自動交換設定」下的 [編輯]。
在[設定1]中進行加密金鑰自動交換設定。
如果要進行多項設定,請選擇設定編號並新增設定。按一下[確定]。
在「IPsec」中為「IPsec」選取[有效]。
如果您不想將 IPsec 用於 HTTPS 傳輸,將「排除HTTPS通訊」設為[有效]。
按一下[確定]。
正在更新...會出現。等候約 1 至 2 分鐘,再按一下[確定]。
如果按一下[確定]後,上一個畫面並未再次出現,請稍後片刻,然後按一下網頁瀏覽器的重新整理按鈕。登出。
使用Web Image Monitor,選取要用於 IPsec 的憑證。必須先安裝憑證才能使用它。關於建立與安裝裝置憑證的詳細資訊,請參閱您裝置的「使用者指南」。
從Web Image Monitor以網路管理員身份登入。
關於登入方法的詳細資訊,請參閱您裝置的「使用者指南」。指向[裝置管理],然後按一下[設定]。
按一下「安全」下的[裝置憑證]。
從「憑證」下「IPsec」中的下拉式清單中選取要用於 IPsec 的憑證。
按一下[確定]。
即會指定IPsec的憑證。正在更新...會出現。等候約 1 至 2 分鐘,再按一下[確定]。
如果按一下[確定]後,上一個畫面並未再次出現,請稍後片刻,然後按一下網頁瀏覽器的重新整理按鈕。登出。
配置電腦的IPsec SA設定,使其完全符合機器上的安全等級。設定方式會因電腦的作業系統而有所不同。此處所示的範例程序使用 Windows 10,並選取了「驗證和等級低的加密」安全性等級。
按一下[開始]按鈕,再按一下[Windows 系統] - [控制面板] - [系統和安全性] - [Windows Defender防火墻]。
按一下[進階設定] - [內容],選取[IPsec設定]索引標籤。
選取[IPsec豁免]中的[是],然後按一下[IPsec預設值]中的[自訂]。
選取[金鑰交換(主要模式)]中的[進階],然後按一下[自訂]。
按一下[安全性方法]中的[新增],新增新的安全性方法。
為[完整性演算法]選取[SHA-1],為[加密演算法]選取[3DES],為[金鑰交換演算法]選取[Diffie-Hellman Group 14]。在[金鑰壽命]中將[分鐘]設定為[300],選取[金鑰交換選項]中的[使用Diffie-Hellman實現進階安全性]核取方塊,然後按一下[確定]。
選取[資料保護(快速模式)]中的[進階],然後按一下[自訂]。
選取[對使用這些設定的所有連接安全性規則要求加密]核取方塊。
按一下[資料完整性和加密]中的[新增],以新增設定。
為[協定]選取[ESP],為[加密演算法]選取[3DES],為[完整性演算法]選取[SHA-1],將[金鑰壽命]設定為「5(分鐘)/100,000 (KB)」。
若已登記[ESP]、[3DES]和[SHA-1]的組合,則無法建立新設定。在此情況下,選取登記的設定,按一下[編輯],並變更[金鑰壽命]。按一下[確定]。
選取[驗證方法]中的[進階],然後按一下[自訂]。
按一下[第一個驗證方法]中的[新增],以新增新的驗證方法。
選取[預共用金鑰]作為憑證類型,輸入金鑰。按三下[確定]。
在[帶進階安全性的Windows Defender防火墻]畫面中,用右鍵按一下[連接安全性規則],按一下[新規則]。
即會出現[新連接安全性規則精靈]。選取[自訂],然後按[下一步]兩次。
選取[傳入和傳出連接的要求驗證],按一下[下一步]。
選取[預設值],按一下[下一步]。
選取[協定類型]中的[任意]或[TCP],按一下[下一步]。
若選取了[TCP],則必要時指定端點連接埠。確保[網域]核取方塊已選取,按一下[下一步]。
輸入需要用於[名稱]的一個名稱,必要時輸入[描述],按一下 [完成]。
在建立的規則上按一下滑鼠右鍵,然後按一下[內容]。
在[遠端電腦]索引標籤中,為[端點1]和[端點2]選取[這些IP位址],按一下[新增]以設定IP位址。
為[端點1]輸入PC的IP位址,為[端點2]輸入裝置的IP位址。在[驗證]索引標簽中,選擇[驗證模式]中的[要求傳入和傳出],按一下[確定]。
為啟用完整轉寄密碼 (PFS),請繼續步驟24。
若將不使用PFS,請繼續步驟27。按一下[開始]按鈕,按一下[Windows PowerShell] - [Windows PowerShell]。
輸入「Get-NetIPsecQuickModeCryptoSet」,按下[輸入]鍵。
輸入「Set-NetIPsecQuickModeCryptoSet」,按下[輸入]鍵,設定「名稱」和「PerfectForwardSecrecyGroup」。
對於「名稱」,輸入「Get-NetIPsecQuickModeCryptoSet」顯示的名稱的值。
對於「PerfectForwardSecrecyGroup」,請指定「none/DH1/DH2/DH14」。在[帶進階安全性的Windows Defender防火墻]畫面中,用右鍵按一下您建立的規則,按一下[啟用規則]。
將啟用電腦的IPsec設定。