Zadání nastavení IPsec počítače
Nakonfigurujte nastavení IPsec SA počítače takovým způsobem, aby přesně odpovídala typu úrovně zabezpečení zařízení na samotném zařízení. Metody nastavení se liší podle operačního systému. V příkladu zde uvedeném je použit operační systém Windows 10 při nastavování úrovně zabezpečení položky "Ověření a nízká úroveň šifrování".
Klepněte pravým tlačítkem na [Start] a potom klepněte na [Ovládací panel], [Systém a zabezpečení] a pak na [Administrativní nástroje].
Ve Windows 7 klepněte na tlačítko [Start], klepněte na [Control Panel] (Ovládací panel), [System and Security] (Systém a zabezpečení) a potom klikněte na [Administrative Tools] (Nástroje pro správu).
V systému Windows 8 přejeďte ukazatelem myši přes horní nebo dolní pravý roh obrazovky a poté klikněte na možnost [Nastavení], [Ovládací panel], [Systém a zabezpečení], a poté na [Nástroje pro správu].
Dvojklikněte na [Místní zásady zabezpečení].
Pokud se zobrazí dialogové okno „Řízení uživatelských účtů“, klikněte na [Ano].
Pravým tlačítkem klepněte na [Zásady zabezpečení protokolu IP - Místní počítač].
V systému Windows 7/8, poklepejte na [Zásady zabezpečení protokolu IP na místním počítači].
Klepněte na [Vytvořit zásady zabezpečení protokolu IP].
V systému Windows 7/8 klepněte na [Vytvořit zásady zabezpečení protokolu IP] v nabídce Akce.
Zobrazí se Průvodce zásadami zabezpečení IP.
Klikněte na [Další].
Zadejte název bezpečnostní politiky pod položkou „Jméno“ a klikněte na [Další].
Zaškrtněte políčko „Zapnout výchozí pravidlo odpovídání“ a klikněte na [Další].
Zvolte „Upravit vlastnosti“ a klikněte na [Dokončit].
V záložce „Všeobecné“ klikněte na [Nastavení].
Pod položkou „Ověřit a vytvořit pokaždé nový klíč“ zadejte (v minutách) stejnou dobu platnosti, která je zadaná na zařízení v položce „Automatická výměna nastavení šifrovacího klíčeFáze 1“, a klikněte na [Metody].
Potvrďte, že nastavení algoritmu hash („Integrita“), šifrovacího algoritmu („Šifrování“) a „Skupiny Diffie-Hellman“ v položce „Pořadí preference zabezpečovací metody“ odpovídají nastavením zařízení v položce „Nastavení automatické výměny šifrovacího klíče Fáze 1“.
Pokud se nastavení nezobrazí, klikněte na [Přidat].
Klikněte dvakrát na [OK].
V záložce „Pravidla“ klikněte na položku [Přidat].
Zobrazí se Průvodce pravidly zabezpečení.
Klikněte na [Další].
Zvolte možnost „Toto pravidlo neurčuje tunel“ a klikněte na [Další].
Zvolte typ sítě pro IPsec a klikněte na [Další].
Pod položkou Seznam IP filtrů klikněte na [Přidat].
Pod položkou [Název] zadejte IP filtr a klikněte na [Přidat].
Zobrazí se Průvodce IP filtru.
Klikněte na [Další].
Je-li to vyžadováno, zadejte popis filtru IP a pak stiskněte [Další].
Pod položkou „Adresa zdroje“ zvolte možnost „Moje IP adresa“ a klikněte na [Další].
Pod položkou „Adresa příjemce“ zvolte „Specifická IP adresa nebo Podsíť“, zadejte IP adresu zařízení a stiskněte [Další].
Zvolte typ protokolu IPsec a klikněte na [Další].
Pokud zvolíte „TCP“ nebo „UDP“, zadejte jak zdrojový, tak cílový port, a klikněte na [Next] (Další).
Klikněte na [Dokončit].
Klikněte na [OK].
Zvolte vytvořený IP filtr a klikněte na [Další].
Klikněte na [Přidat].
Objeví se průvodce akcemi filtru.
Klikněte na [Další].
Pod položkou [Název] zadejte název akce IP filtru a stiskněte [Další].
Vyberte „Vyjednat metodu zabezpečení“ a klikněte na [Další].
Zvolte „Povolit nezabezpečenou komunikaci, pokud nelze navázat zabezpečené připojení“, a pak klikněte na [Další].
Vyberte položku „Uživatelský“ a klikněte na možnost [Nastavení].
Pod položkou „Integrační algoritmus“ zvolte ověřovací algoritmus, který byl zadán na zařízení v položce „Nastavení automatické výměny šifrovacího klíčeFáze 2“.
Pod položkou „Šifrovací algoritmus“ zvolte šifrovací algoritmus, který byl zadán na zařízení v položce „Nastavení automatické výměny šifrovacího klíčeFáze 2“.
V „Nastavení klíče relace“ zvolte „Vytvořit nový klíč každých“ a zadejte dobu platnosti (v sekundách), která byla zadána na zařízení v položce Nastavení automatické změny šifrovacího klíčeFáze 2.
Klikněte na [OK].
Klikněte na [Další].
Klikněte na [Dokončit].
Zvolte akci právě vytvořeného filtru a stiskněte [Další].
Pokud „Nastavení automatické změny šifrovacího klíče“ nastavíte na hodnotu „Ověření a vysoká úroveň šifrování“, zvolte nově vytvořenou akci filtru adres IP, klikněte na [Upravit] a poté v dialogu vlastnosti akce filtru zaškrtněte „Pro klíč relace použít metodu Perfect Forward Secrecy (PFS)“. Použijete-li metodu PFS v systému Windows, číslo skupiny PFS použité ve fázi 2 je automaticky vyjednáno ve fázi 1 na základě čísla skupiny Diffie-Hellman (viz krok 11). Pokud následně v zařízení změníte automatické nastavení specifikované úrovní zabezpečení a zobrazí se “Uživatelské nastavení”, musíte v zařízení nastavit stejné číslo skupiny pro položky „Fáze 1Skupina Diffie-Hellman“ a „Fáze 2PFS“, aby bylo možné zřídit přenos IPsec.
Zvolte ověřovací metodu a poté klikněte na položku [Další].
Zvolíte-li jako ověřovací metodu „Certifikát“ v položce „Nastavení automatické výměny šifrovacího klíče“ na zařízení, zadejte certifikát zařízení. Pokud vyberete položku „PSK“, zadejte stejný text PSK, jako je zvolen na zařízení s předsdíleným klíčem.
Klikněte na [Dokončit].
Pokud používáte IPv6, musíte tuto proceduru zopakovat od kroku 13 a přidejte ICMPv6 jako výjimku.
Až dojdete ke kroku 23, zvolte [58] jako číslo protokolu typu cílového protokolu „Jiný“ a poté nastavte [Vyjednávat zabezpečení] na [Povolit].
Klikněte na [OK].
Nové zásady zabezpečení IP (nastavení IPsec) jsou zadány.
Zvolte zásady zabezpečení, které byly vytvořeny, klikněte pravým tlačítkem myši a potom klikněte na [Přidělit].
Nastavení IPsec počítače je aktivováno. Pokud klepnete na tlačítko [Zrušit přiřazení], dojde k zrušení nastavení IPsec počítače.