Tato nastavení slouží k určení metody ověřování partnerského počítače. Metoda prvního ověření probíhá ve vyjednávací fázi hlavního režimu zabezpečení internetového protokolu (IPsec).

K prvnímu ověření můžete použít různé metody. Tyto metody jsou vykonány v pořadí, jaké sami určíte. Použita bude první úspěšná metoda.

Další informace o metodách ověřování dostupných v tomto dialogovém okně naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (https://go.microsoft.com/fwlink/?linkid=129230).

Postup pro zobrazení tohoto dialogového okna

  • Při změně výchozího nastavení v celém systému:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v části Přehled na položku Vlastnosti brány firewall.

    2. Klikněte na kartu Nastavení protokolu IPSec a potom v části Výchozí nastavení protokolu IPsec klikněte na tlačítko Vlastní.

    3. V části Metoda ověřování vyberte možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    4. V části První ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

  • Při vytváření nového pravidla zabezpečení připojení postupujte takto:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte pravým tlačítkem na položku Pravidla zabezpečení připojení a poté klikněte na příkaz Nové pravidlo.

    2. Na stránce Typ pravidla vyberte libovolný typ kromě možnosti Výjimka z ověření.

    3. Na stránce Metoda ověřování vyberte možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    4. V části První ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

  • Při změně stávajícího pravidla zabezpečení připojení:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte na položku Pravidla zabezpečení připojení.

    2. Dvakrát klikněte na pravidlo zabezpečení připojení, které chcete upravit.

    3. Klikněte na kartu Ověřování.

    4. V části Metoda klikněte na možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    5. V části První ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

Počítač (Kerberos verze 5)

Tuto metodu lze použít k ověřování partnerských počítačů, jejichž účty jsou ve stejné doméně nebo v samostatných doménách se vztahem důvěryhodnosti.

Počítač (NTLMv2)

NTLMv2 představuje alternativní způsob ověřování partnerských počítačů, jejichž účty jsou ve stejné doméně nebo v samostatných doménách se vztahem důvěryhodnosti.

Certifikát počítače z této certifikační autority (CA)

V situacích zahrnujících komunikaci s externím obchodním partnerem nebo počítače, které nepoužívají protokol ověřování Kerberos verze 5, použijte certifikát veřejného klíče. Jeho použití vyžaduje, aby byla prostřednictvím sítě nakonfigurovaná nebo přístupná nejméně jedna důvěryhodná kořenová certifikační autorita a aby ke klientským počítačům byl přidružený počítačový certifikát.

Algoritmus podepisování

Zadejte algoritmus podepisování použitý pro kryptografické zabezpečení certifikátu.

Šifrování RSA (výchozí)

Tuto možnost vyberte, pokud je certifikát podepsán pomocí kryptografického algoritmu RSA s veřejným klíčem.

ECDSA-P256

Tuto možnost vyberte, je-li certifikát podepsán s použitím algoritmu ECDSA (Elliptic Curve Digital Signature Algorithm) s 256bitovým klíčem.

ECDSA-P384

Tuto možnost vyberte, jestliže je certifikát podepsán s použitím algoritmu ECDSA s 384bitovým klíčem.

Typ úložiště certifikátů

Určete typ certifikátu zadáním úložiště, ve kterém se certifikát nachází.

Kořenová certifikační autorita (výchozí)

Tuto možnost vyberte, pokud byl certifikát vystaven kořenovou certifikační autoritou a je uložen v úložišti certifikátů místního počítače Důvěryhodné kořenové certifikační autority.

Zprostředkující certifikační autorita

Tuto možnost vyberte, jestliže byl certifikát vystaven zprostředkující certifikační autoritou a je uložen v úložišti certifikátů místního počítače Úložiště zprostředkujících certifikačních autorit.

Akceptovat pouze certifikáty stavu

Tato možnost omezuje použití certifikátů počítače pouze na certifikáty stavu. Certifikáty stavu publikuje certifikační autorita jako podporu nasazení architektury NAP (Network Access Protection). Architektura NAP umožňuje definovat a vynucovat zásady stavu tak, aby počítače neodpovídající zásadám sítě, například počítače bez antivirového softwaru nebo počítače, které nemají nainstalovány nejnovější aktualizace softwaru, měly menší pravděpodobnost přístupu do dané sítě. Pokud chcete zavést architekturu NAP, musíte nastavit architekturu NAP jak na serverech, tak v klientských počítačích. Správa klientů platformy NAP, modul snap-in konzoly MMC (Microsoft Management Console) pomůže nakonfigurovat nastavení platformy NAP v klientských počítačích. Další informace najdete v nápovědě modulu snap-in architektury NAP konzoly MMC. Pokud chcete tuto metodu používat, musíte mít v doméně server se zavedenou platformou NAP.

Povolit mapování certifikátu na účty

Pokud povolíte mapování certifikátu na účty pomocí protokolu IPsec, protokoly Internet Key Exchange (IKE) a AuthIP přidruží (namapují) certifikát počítače k účtu počítače v doméně nebo doménové struktuře služby Active Directory a následně načtou přístupový token, který zahrnuje seznam skupin zabezpečení počítače. Tímto procesem se zajistí, že certifikát nabídnutý druhou stranou IPsec bude odpovídat aktivnímu účtu počítače v doméně a že daný počítač tento certifikát použije.

Mapování certifikátu na účet lze používat pouze u účtů počítačů, které jsou ve stejné doménové struktuře jako počítač provádějící mapování. Tím se zajistí mnohem silnější ověřování než při pouhém přijetí jakéhokoli platného řetězce certifikátů. Tuto schopnost lze například využít k omezení přístupu na počítače ve stejné doménové struktuře. Mapováním certifikátu na účet se však nezajistí, že je konkrétnímu důvěryhodnému počítači povolen přístup IPsec.

Mapování certifikátu na účet je obzvlášť užitečné, pokud certifikát pochází z infrastruktury veřejného klíče, která není integrovaná s nasazením služby AD DS (Active Directory Domain Services), například v případě, že obchodní partneři získají certifikáty od jiných poskytovatelů než společnosti Microsoft. Metodu ověřování zásady IPsec můžete nakonfigurovat tak, aby mapovala certifikáty na účet počítače v doméně pro konkrétní kořenovou certifikační autoritu. Můžete také namapovat všechny certifikáty z vydávající certifikační autority na jeden účet počítače. Díky tomu lze použít ověřování certifikátu IKE k omezení na doménové struktury, kterým je povolen přístup pomocí protokolu IPsec v prostředí, kde existuje mnoho doménových struktur, z nichž každá provádí automatický zápis v rámci jedné interní kořenové certifikační autority. Jestliže proces mapování certifikátu na účet není správně dokončen, ověřování se nezdaří a připojení chráněná protokolem IPsec budou zablokována.

Předsdílený klíč (nedoporučeno)

K ověření můžete použít předsdílený klíč. Je to sdílený, tajný, předem dohodnutý klíč mezi dvěma uživateli. Obě strany musí IPsec pro použití tohoto klíče nakonfigurovat ručně. Během vyjednávání zabezpečení je informace před samotným přenosem pomocí předsdíleného klíče zašifrována a na straně příjemce pomocí toho samého klíče odšifrována. Pokud dokáže příjemce informaci odšifrovat, je jeho identita považována za ověřenou.

Upozornění
  • Metodika předsdíleného klíče počítá se vzájemnou slučitelností a drží se standardů protokolu IPsec. Předsdílený klíč by se měl používat výhradně pro testování. Pravidelné používání předsdíleného klíče se nedoporočuje, protože ověřovací klíč je v zásadách protokolu IP uchováván v nezabezpečeném stavu.
  • Jestliže je předsdílený klíč používán pro hlavní režim ověřování, nelze použít druhé ověření.

Další odkazy

Obsah