Internet 协议安全 (I ec) 循序渐进指南(八)

不允许对通信进行单向 I ec 保护 　　I ec 策略不允许采用 I ec 对通信进行单向保护。如果您创建一条规则以保护主机 A 和 的 I 地址之间的通信，那么您必须在同一筛选器列表中指定从 A 到 之间的通信和从 到 A 之间的通信。您可以在同一筛选器列表中创建两个筛选器来完成这件事。或者，您可以到 I ec 管理单元中的筛选器规范属性对话框并选择镜像框。此选项在默认情况下是选中的，因为保护必须双向协商，即使大部分情况下数据通信本身只向一个方向流动。 　　您可以创建单向筛选器以闭锁或允许通信，但不能用来保护通信安全。要保护通信安全，您必须手工指定筛选器镜像或使用镜像复选框让系统自动生成。 　　计算机证书必须有私钥 　　若获取证书不当，就可能导致这样一种情况，即，证书存在，且被选择用于 IKE 身份验证，但无法发挥作用，因为在本地计算机上与证书的公钥对应的私钥不存在。 　　验证证书是否有私钥 　　1. 在开始菜单上，单击运行，然后在文本框中键入 mmc。单击确定。
　　2. 在控制台菜单上，单击添加/删除管理单元，然后单击添加。
　　3. 在管理单元列表中，双击证书。单击关闭，然后单击确定。
　　4. 展开证书-用户（本地计算机），然后展开个人。
　　5. 单击证书文件夹。
　　6. 在右窗格中，双击您想检查的证书。 　　在常规选项卡中，您应看到这样的文字：您有一个与该证书对应的私钥。如果看不到此消息，那么系统就不能顺利地将此证书用于 I ec。 　　取决于该证书的申请方式，以及在主机的本地证书存储中的填充方式，此私钥值可能不存在，或可能在 IKE 协商期间不可用。如果个人文件夹中的证书没有对应的私钥，那么证书注册失败。如果证书是从 Microsoft Certificate erver 中获得，且设置了强私钥保护选项，则用户每次使用私钥在 IKE 协商中给数据签名时，都必须输入 I 号码以访问私钥。因为 IKE 协商是在后台由系统服务执行的，所以服务没有窗口可用来提示用户。因此以此选项获得的证书不能用于 IKE 身份验证。 　　建立和测试最简单的端对端策略 　　大多数问题，特别是互操作性问题，都可以通过创建最简单的策略而不是使用默认策略来解决。当创建新策略时，不要启用 I ec 隧道，或默认响应规则。在常规选项卡上编辑策略，编辑密钥交换，以便只有一个选项目标计算机可以接受。例如，使用 RFC 2049 要求的 DE 选项 HA1 及 Low(1) 1 Diffie Hellma 组。创建筛选器列表，并带有一个镜像筛选器，指出“我的 I 地址”的源地址和您尝试与其安全地通信的 I 地址的目标地址。我们建议通过创建只包含 I 地址的筛选器进行测试。创建您自己的筛选器操作以只使用一个安全措施来协商安全。如果您想用数据包嗅探器查看采用 I ec 格式的数据包的通信，请使用“中等安全”（AH 格式）。否则，选择自定义，并建立一个单一的安全措施。例如，使用 RFC 2049 要求的参数集，如使用选中 HA1 的 DE 的格式 E ，不指定生存周期，且没有“完全向前保密 (PFS)"。要确保在安全措施中两个复选框都被清除，以便它为目标计算机要求 I ec，并不会与非 I ec 计算机通信，且不接受不安全的通信。在规则中使用预先共享的密钥的身份验证方法，并要确保在字符中没有空格。目标计算机必须使用完全相同的预先共享的密钥。 　　备注 也必须在目标计算机上进行相同的配置，只是源和目标的 I 地址颠倒一下。 　　您应在计算机上指派此策略，然后从该计算机 ing 目标计算机。您应看到 ing 返回协商安全。这表明在匹配策略的筛选器，IKE 应为 ing 数据包尝试与目标计算机协商安全。如果您从 ing 目标计算机的多次尝试中继续看到协商 I 安全，那么可能没有策略问题，而是可能有 IKE 问题。参见下面的“排除 IKE 协商中的故障”一节。 　　排除 IKE 协商中的故障 　　IKE 服务作为 I EC 策略代理程序服务的一部分运行。要确保此服务在运行。 　　要确保为审核属性审核登录事件启用了成功和失败审核。IKE 服务将列出审核项目，并在安全事件日志中提供协商为什么失败的解释。 　　清除 IKE 状态：重新启动 I EC 策略代理程序服务 　　要想完整地清除 IKE 协商的状态，当您作为本地管理员登录时，必须使用下面的命令，从命令行解释器提示符停止和启动策略代理程序服务： 　　net to olicyagent