IPsec の認証

構成した認証方法の数に関係なく、2 台のコンピューターの間で使用できる認証方法は 1 つだけです。複数の規則を 1 組のコンピューターに適用する場合は、それらの規則内に認証方法の一覧を構成し、そのペアが同じ認証方法を使えるようにする必要があります。たとえば、1 組のコンピューター間のある規則では認証用に Kerberos だけを指定して TCP データだけにフィルターをかけており、また別の規則では認証用に証明書だけを指定して UDP データだけにフィルターをかけている場合、認証は失敗します。認証方法は、[規則の編集のプロパティ] プロパティ シートまたは [規則の追加のプロパティ] プロパティ シートの [認証方法] タブで構成します。

• Kerberos Version 5 の認証プロトコルは、既定の認証テクノロジです。この方法は、Kerberos V5 プロトコルを実行しており、同じドメインまたは信頼される側のドメインのメンバーであるすべてのコンピューターで使用できます。この方法は、インターネット プロトコル セキュリティ (IPsec) を使用してドメインを分離する場合に役立ちます。
  
  
• インターネット アクセス、全社的リソースへのリモート アクセス、外部ビジネス パートナーとの通信、または Kerberos V5 認証プロトコルを実行しないコンピューターが関係する状況では、公開キー証明書を使用してください。この場合、最低 1 つの信頼された証明機関 (CA) が構成されている必要があります。このバージョンの Windows は、商用証明機関が生成する CA 証明書を含む X.509 Version 3 証明書をサポートしています。
  
  
• 事前共有キーを指定できます。2 人のユーザーの間であらかじめ決められ、共有されている共通キーです。このキーは簡単に使用できるうえに、クライアントは Kerberos V5 認証プロトコルを実行する必要がなく、公開キー証明書も必要ありません。通信の両側では、この事前共有キーを使用できるように IPsec を手動で構成しなければなりません。これは、スタンドアロン コンピューターや、Kerberos V5 認証プロトコルを使用していないコンピューターを認証するための簡単な方法です。事前共有キーは認証による保護のみを目的としており、データの整合性や暗号化のためには使用されません。
  
  

	重要
	事前共有キーはプレーンテキストで格納されるので、セキュリティで保護される方法とは見なされません。事前共有キーはテスト用途のみに使用してください。