Internet 协议安全 (I ec) 循序渐进指南(七)
日期:2007-05-09 荐:
启用由 IKE 进行的 CRL 检查 1. 在开始菜单上,单击运行,并输入 regedt32。单击确定。这就启动了“注册表编辑器”。
2. 浏览到本地机器上的 HKEY_LOCAL_MACHINE。
3. 浏览到下面的位置:System\CurrentControlSet\Services\PolicyAgent
4. 双击 olicyAgent。
5. 在编辑菜单,单击添加项。 图 7 在注册表中添加项 6. 输入项名称(区分大小写):Oakley。
7. 让类别保留空白,然后单击确定。
8. 选择新项 Oakley。
9. 在编辑菜单上,单击添加数值。
10. 输入值名称(区分大小写):StrongCrlCheck。
11. 选择数据类型: REG_DWORD 并单击确定。 输入一个值 1 或 2,根据您想启用的操作而定: o 使用 1,只有在 CRL 检查返回结果说明证书已被吊销时,才表示证书验证失败(CRL 检查的正常形式)。
o 使用 2,在出现任何 CRL 检查错误时,均表示证书验证失败。这是最严格的形式,当 CRL 分发点在网络上必须可达到时使用,但决不能说它从未颁发过证书或不会提供任何其它错误。实际上,只有当 CRL 处理可以肯定地断定证书没有被吊销时,证书才能通过这种级别的检查。 12. 单击十六进制作为基数。单击确定。
13. 从注册表编辑器退出。
14. 在 Window 2000 命令提示符下,键入 et to olicyagent,然后键入 et tart olicyagent 以重新启动与 I ec 相关的服务。 备注 如果您的系统被配置为用于 L2TP/I ec 的 V 服务器,则必须重新启动 Window 2000。 要禁用 CRL 检查,只须删除 Oakley 项下的 trongCRLCheck 值,然后按需要重新启动服务或 Window 2000。 了解 IKE 协商(高级用户) 本节是为那些想更详细地了解 IKE 协商操作细节的读者而编写的。无须完成本指南中的步骤就可以阅读本节。Window 2000 erver 和 rofe ional 两个版本的联机帮助中提供 I ec、IKE 和其它方面的详细解释。(虽然使用了不同的目录,但在 rofe ional 版和 erver 版中提供的帮助内容是相同的。只须启动 I ec 策略管理管理单元并选择帮助即可)。 IKE 的失败和成功以及失败的原因,都在“安全”事件日志中审核。启用审核的步骤在本指南的开始已经给出。如果服务器在使用内置策略服务器(请求安全设置)(或者使用任何自定义策略,只要策略中包含使用内置筛选器操作请求安全设置(可选)的规则),那么对于不响应 IKE 申请的目标计算机,IKE 协商可能回到明文。这由审核事件跟踪以查找所谓的“软安全关联”。这作为安全列的值为的形式出现在“I ec 监视器”中。如果服务器在使用“安全服务器”,并放弃尝试到达从该目标计算机中没有 IKE 响应的目标计算机,安全日志中的失败审核事件将显示原因是对等客户没有响应。 您可以在服务器上使用服务器(请求安全设置)策略和审核日志,发现和跟踪服务器在正常的运行中与其通信的目标计算机。因此,您可以更好地理解如何建立自定义策略,以保护正确的目标的安全,同时允许其它维护和基础结构通信不受阻碍地以无保护措施进行。 IKE 主要模式(阶段 1) IKE 协商的初始的长的形式(主要模式或阶段 1)执行身份验证,并在计算机之间建立 IKE 安全关联 (SA),该过程涉及产生主密钥材料。结果被称为“IKE 安全关联”。IKE 主要模式受系统的 I ec 策略规则的控制,只使用规则中的筛选器的源地址和目标地址。一旦成功,默认策略中的默认设置(参见策略的常规选项卡中的密钥交换)将使 IKE A 持续 8 个小时。如果在 8 小时结束时数据仍被传输,那么将自动重新协商主要模式安全关联。IKE 主要模式安全关联在 I ec 监视器工具中是不可见的。但是,可由本地管理员使用 etdiag.exe/test:i ec/v 命令行来显示。Netdiag.exe 是一个支持工具,位于 Window 2000 rofe ional 和 erver CD 的 \Su ort 文件夹中。 IKE 快速模式(阶段 2) IKE 协商的较短版本(快速模式)在主要模式之后发生,根据策略的规则中的数据包筛选器的源地址和目标地址(如果存在的话,还有协议和端口)部分,建立 I ec 安全关联以保护特定通信的安全。I ec A 协商涉及选择算法,产生会话密钥和确定在数据包中使用的安全参数索引 ( I) 号码。建立两个 I ec 安全关联,每一个安全关联都带有其自己的 I(数据包中的标签),一个用于入站通信,一个用于出站通信。I ec 监视器只显示一个 I ec 安全关联 - 出站安全关联。在入站 A 上空闲五分钟之后,两个 I ec A 都被清除,使出站 A 从 I ec 监视器显示中消失。如果再发送要求 I ec 安全的通信,那么就再进行 IKE 快速模式协商,以重新建立两个新的 I ec 安全关联,这两个安全关联将使用新密钥和 I。每隔 1 小时(3600 秒)或在传输 100 兆字节之后,在默认安全方法中设置的默认值将要求新建快速模式的 I ec 安全关联。如果在前 5 分钟内积极地传输数据,那么 I ec 安全关联将自动在过期之前重新协商。传输更多数据的一方,或启动了以前的快速模式的一方,将启动新的快速模式。 故障排除 排除策略配置故障
标签: