使用这些设置可以指定对等计算机身份验证的方式。第一身份验证方法是在 Internet 协议安全 (IPSec) 协商的主模式阶段期间执行的。

可以指定多种方法以用于第一身份验证。将以所指定的顺序尝试这些方法。将使用第一个成功的方法。

有关此对话框中可用身份验证方法的详细信息,请参阅 Windows 中支持的 IPsec 算法和方法 (https://go.microsoft.com/fwlink/?linkid=129230)(可能为英文网页)。

打开此对话框的步骤
  • 修改系统范围的默认设置时:

    1. 在高级安全 Windows 防火墙 MMC 管理单元的“概述”中,单击“Windows 防火墙属性”

    2. 单击“IPsec 设置”选项卡,然后在“IPsec 默认值”下单击“自定义”

    3. “身份验证方法”下选择“高级”,然后单击“自定义”

    4. “第一身份验证”下,选择一种方法,然后单击“编辑”“添加”

  • 创建新连接安全规则时:

    1. 在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”

    2. “规则类型”页,选择“免除身份验证”以外的任意类型。

    3. “身份验证方法”页上选择“高级”,然后单击“自定义”

    4. “第一身份验证”下,选择一种方法,然后单击“编辑”“添加”

  • 修改现有连接安全规则时:

    1. 在高级安全 Windows 防火墙 MMC 管理单元中,单击“连接安全规则”

    2. 双击要修改的连接安全规则。

    3. 单击“身份验证”选项卡。

    4. “方法”下单击“高级”,然后单击“自定义”

    5. “第一身份验证”下,选择一种方法,然后单击“编辑”“添加”

计算机 (Kerberos V5)

可以使用此方法对那些在同一个域中具有计算机帐户或位于具有信任关系的单独的域中的对等计算机进行身份验证。

计算机(NTLMv2)

NTLMv2 是另一种身份验证方法,可以使用此方法对那些在同一个域中具有计算机帐户或位于具有信任关系的单独的域中的对等计算机进行身份验证。

来自此证书颁发机构 (CA) 的计算机证书

在包含外部商业伙伴通信或不运行 Kerberos 版本 5 身份验证协议的计算机的情形中使用公钥证书。这要求网络上至少要配置一个受信任的根 CA 或可通过网络访问,且客户端计算机具有相关的计算机证书。

签名算法

指定用于加密保护证书安全的签名算法。

RSA (默认)

如果使用 RSA 公钥加密算法签名证书,请选择此选项。

ECDSA-P256

如果使用具有 256 位密钥强度的椭圆曲线数字签名算法 (ECDSA) 签名证书,请选择此选项。

ECDSA-P384

如果使用具有 384 位密钥强度的 ECDSA 签名证书,请选择此选项。

证书存储类型

通过标识证书所在的存储指定证书类型。

根 CA (默认)

如果证书由根 CA 颁发,且存储在本地计算机的受信任的根证书颁发机构证书存储中,请选择此选项。

中级 CA

如果证书由中级 CA 颁发,且存储在本地计算机的中级证书颁发机构证书存储中,请选择此选项。

只接受健康证书

此选项限制使用标记为健康证书的计算机证书。由 CA 发布的健康证书支持网络访问保护 (NAP) 部署。NAP 允许您定义和强制健康策略,以便不符合网络策略的计算机(如没有防病毒软件的计算机或没有最新软件更新的计算机)访问网络的可能性更低。若要实施 NAP,则需要在服务器和客户端计算机上都配置 NAP 设置。NAP 客户端管理、Microsoft 管理控制台 (MMC) 管理单元都可以帮助您在客户端计算机上配置 NAP 设置。有关详细信息,请参阅 NAP MMC 管理单元帮助。若要使用此方法,必须在域中安装 NAP 服务器。

启用证书进行帐户映射

启用 IPsec 证书到帐户映射时,Internet 密钥交换 (IKE) 和已验证 IP (AuthIP) 协议将某个计算机证书关联(映射)到 Active Directory 域或林中的计算机帐户,然后检索其中包含计算机安全组列表的访问令牌。此过程确保证书由对应于域中某个活动计算机帐户的 IPsec 对等端提供,且该证书应由那台计算机使用。

只能对与执行映射的计算机位于同一个林的计算机帐户使用证书到帐户映射。与仅接受任意有效证书链相比,这种方法可以提供更强的身份验证。例如,可以使用此功能限制对位于同一个林中的计算机的访问。但是证书到帐户映射不确保允许特定的受信任计算机进行 IPsec 访问。

如果证书来自未与您的 Active Directory 域服务 (AD DS) 部署集成的公钥基础结构 (PKI),如商业伙伴从非 Microsoft 提供程序获取其证书,则证书到帐户映射尤其有用。可以将 IPsec 策略身份验证方法配置为将证书映射到特定根 CA 的某个域计算机帐户。还可以将所有证书从颁发 CA 映射到一个计算机帐户。这会允许使用 IKE 证书身份验证限制允许哪些林在存在多个林的环境中进行 IPsec 访问,且每一个在单个内部根 CA 下执行自动注册。如果证书到帐户映射过程未正确完成,身份验证将失败,受 IPsec 保护的连接将被阻止。

预共享密钥(不推荐)

可以使用预共享密钥进行身份验证。这是两个用户先前同意的共享机密密钥。双方必须手动配置 IPSec 才能使用此预共享密钥。在安全协商期间,使用共享密钥在传输前对信息进行加密,在接收端使用同一密钥对信息进行解密。如果接收方能够将信息解密,即认为身份通过验证。

小心
  • 提供预共享密钥方法以进行互操作,并遵循 IPSec 标准。预共享密钥应仅用于测试。建议不要频繁使用预共享密钥身份验证,因为身份验证密钥存储(处于未保护状态)在 IPSec 策略中。
  • 如果预共享密钥用于主模式身份验证,则不能使用第二身份验证。

请参阅


目录