Internet 协议安全 (I ec) 循序渐进指南(八)
日期:2007-10-09 荐:
不允许对通信进行单向 I ec 保护 I ec 策略不允许采用 I ec 对通信进行单向保护。如果您创建一条规则以保护主机 A 和 的 I 地址之间的通信,那么您必须在同一筛选器列表中指定从 A 到 之间的通信和从 到 A 之间的通信。您可以在同一筛选器列表中创建两个筛选器来完成这件事。或者,您可以到 I ec 管理单元中的筛选器规范属性对话框并选择镜像框。此选项在默认情况下是选中的,因为保护必须双向协商,即使大部分情况下数据通信本身只向一个方向流动。 您可以创建单向筛选器以闭锁或允许通信,但不能用来保护通信安全。要保护通信安全,您必须手工指定筛选器镜像或使用镜像复选框让系统自动生成。 计算机证书必须有私钥 若获取证书不当,就可能导致这样一种情况,即,证书存在,且被选择用于 IKE 身份验证,但无法发挥作用,因为在本地计算机上与证书的公钥对应的私钥不存在。 验证证书是否有私钥 1. 在开始菜单上,单击运行,然后在文本框中键入 mmc。单击确定。
2. 在控制台菜单上,单击添加/删除管理单元,然后单击添加。
3. 在管理单元列表中,双击证书。单击关闭,然后单击确定。
4. 展开证书-用户(本地计算机),然后展开个人。
5. 单击证书文件夹。
6. 在右窗格中,双击您想检查的证书。 在常规选项卡中,您应看到这样的文字:您有一个与该证书对应的私钥。如果看不到此消息,那么系统就不能顺利地将此证书用于 I ec。 取决于该证书的申请方式,以及在主机的本地证书存储中的填充方式,此私钥值可能不存在,或可能在 IKE 协商期间不可用。如果个人文件夹中的证书没有对应的私钥,那么证书注册失败。如果证书是从 Microsoft Certificate erver 中获得,且设置了强私钥保护选项,则用户每次使用私钥在 IKE 协商中给数据签名时,都必须输入 I 号码以访问私钥。因为 IKE 协商是在后台由系统服务执行的,所以服务没有窗口可用来提示用户。因此以此选项获得的证书不能用于 IKE 身份验证。 建立和测试最简单的端对端策略 大多数问题,特别是互操作性问题,都可以通过创建最简单的策略而不是使用默认策略来解决。当创建新策略时,不要启用 I ec 隧道,或默认响应规则。在常规选项卡上编辑策略,编辑密钥交换,以便只有一个选项目标计算机可以接受。例如,使用 RFC 2049 要求的 DE 选项 HA1 及 Low(1) 1 Diffie Hellma 组。创建筛选器列表,并带有一个镜像筛选器,指出“我的 I 地址”的源地址和您尝试与其安全地通信的 I 地址的目标地址。我们建议通过创建只包含 I 地址的筛选器进行测试。创建您自己的筛选器操作以只使用一个安全措施来协商安全。如果您想用数据包嗅探器查看采用 I ec 格式的数据包的通信,请使用“中等安全”(AH 格式)。否则,选择自定义,并建立一个单一的安全措施。例如,使用 RFC 2049 要求的参数集,如使用选中 HA1 的 DE 的格式 E ,不指定生存周期,且没有“完全向前保密 (PFS)"。要确保在安全措施中两个复选框都被清除,以便它为目标计算机要求 I ec,并不会与非 I ec 计算机通信,且不接受不安全的通信。在规则中使用预先共享的密钥的身份验证方法,并要确保在字符中没有空格。目标计算机必须使用完全相同的预先共享的密钥。 备注 也必须在目标计算机上进行相同的配置,只是源和目标的 I 地址颠倒一下。 您应在计算机上指派此策略,然后从该计算机 ing 目标计算机。您应看到 ing 返回协商安全。这表明在匹配策略的筛选器,IKE 应为 ing 数据包尝试与目标计算机协商安全。如果您从 ing 目标计算机的多次尝试中继续看到协商 I 安全,那么可能没有策略问题,而是可能有 IKE 问题。参见下面的“排除 IKE 协商中的故障”一节。 排除 IKE 协商中的故障 IKE 服务作为 I EC 策略代理程序服务的一部分运行。要确保此服务在运行。 要确保为审核属性审核登录事件启用了成功和失败审核。IKE 服务将列出审核项目,并在安全事件日志中提供协商为什么失败的解释。 清除 IKE 状态:重新启动 I EC 策略代理程序服务 要想完整地清除 IKE 协商的状态,当您作为本地管理员登录时,必须使用下面的命令,从命令行解释器提示符停止和启动策略代理程序服务: net to olicyagent
标签: