使用这些设置可以配置该连接安全规则所使用身份验证的类型。

注意

并非此处列出的所有身份验证方法均可用于所有连接安全规则类型。可用于规则类型的身份验证方法在新建连接安全规则向导的“身份验证方法”页和“连接安全规则属性”页的“身份验证”选项卡上显示。

有关身份验证方法的详细信息,请参阅 Windows 中支持的 IPsec 算法和方法 (https://go.microsoft.com/fwlink/?linkid=129230)(可能为英文网页)。

打开此向导页的步骤
  1. 在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”

  2. 单击“下一步”直到到达“身份验证方法”页。

默认值

此选项仅在指定“隔离”“自定义”规则类型时可用。

选择此选项可以使用当前在“身份验证方法”“IPsec 设置”选项卡的“高级安全 Windows 防火墙属性”对话框上显示的身份验证方法。有关自定义默认选项的详细信息,请参阅对话框:自定义 IPsec 设置

计算机和用户 (Kerberos V5)

此选项仅在指定“隔离”“自定义”规则类型时可用。

选择此选项可以使用带有 Kerberos 版本 5 协议的计算机和用户身份验证。它等同于选择“高级”,为第一个身份验证添加“计算机(Kerberos V5)”,为第二个身份验证添加“用户(Kerberos V5)”,然后清除“第一身份验证可选”“第二身份验证可选”

计算机 (Kerberos V5)

此选项仅在指定“隔离”“自定义”规则类型时可用。

选择此选项可以使用带有 Kerberos 版本 5 协议的计算机身份验证。它等同于选择“高级”,为第一个身份验证添加“计算机(Kerberos V5)”,然后选择“第二身份验证可选”

计算机证书

此选项仅在指定“服务器到服务器”“隧道”规则类型时可用。

选择此选项可以使用基于计算机证书的计算机身份验证。它等同于选择“高级”,为第一个身份验证添加“计算机证书”,然后选择“第二身份验证可选”

签名算法

指定用于加密保护证书安全的签名算法。

RSA (默认)

如果使用 RSA 公钥加密算法签名证书,请选择此选项。

ECDSA-P256

如果使用具有 256 位密钥强度的椭圆曲线数字签名算法 (ECDSA) 签名证书,请选择此选项。

ECDSA-P384

如果使用具有 384 位密钥强度的 ECDSA 签名证书,请选择此选项。

证书存储类型

通过标识证书所在的存储指定证书类型。

根 CA (默认)

如果证书由根证书颁发机构 (CA) 颁发,且存储在本地计算机受信任的根证书颁发机构证书存储中,请选择此选项。

中级 CA

如果证书由中级 CA 颁发,且存储在本地计算机的中级证书颁发机构证书存储中,请选择此选项。

只接受健康证书

此选项限制使用标记为健康证书的计算机证书。由 CA 发布的健康证书支持网络访问保护 (NAP) 部署。NAP 允许您定义和强制健康策略,以便不符合网络要求的计算机(如没有防病毒软件的计算机或没有最新软件更新的计算机)访问网络的可能性很小。若要实施 NAP,则需要在服务器和客户端计算机上都配置 NAP 设置。NAP 客户端管理、Microsoft 管理控制台 (MMC) 管理单元都可以帮助您在客户端计算机上配置 NAP 设置。有关详细信息,请参阅 NAP MMC 管理单元帮助。若要使用此选项,必须在域中安装 NAP 服务器。

高级

指定任意规则类型时此选项可用。

选择此选项可以配置任何可用的身份验证方法。然后必须单击“自定义”并为第一个身份验证和第二个身份验证指定方法列表。有关详细信息,请参阅对话框:自定义高级身份验证方法对话框:添加或编辑第一身份验证方法对话框:添加或编辑第二身份验证方法

如何更改这些设置

创建连接安全规则后,可以在“连接安全规则属性”对话框中更改这些设置。双击“连接安全规则”中的某个规则时会打开此对话框。若要更改此规则使用的身份验证方法,请选择“身份验证”选项卡。

其他参考


目录