 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
预共享的密钥是一个 Unicode 字符串,它用于对 Internet 协议安全 (IPSec) 上的第 2 层隧道协议 (L2TP) 连接进行身份验证。许多操作系统都支持使用预共享的密钥,其中包括 Microsoft® Windows Server™ 2003 家族 和 Windows® XP。还可以配置 ISA 服务器使用预共享的密钥对来自其他路由器的连接进行身份验证。
有关说明,请参阅配置用于 VPN 连接的预共享密钥。
使用预共享密钥身份验证不需要公钥基础结构 (PKI) 硬件和配置方面的投资,而要对 IPSec 上的 L2TP 身份验证使用计算机证书时则不然。预共享密钥在远程访问服务器上的配置很简单,在远程访问客户端上的配置也相对较为简单。如果将预共享密钥通过连接管理器配置文件来发布,则可以使其对于用户而言是透明的。如果您正在建立 PKI 或者管理 Active Directory 域,可以配置“路由和远程访问”来接受使用计算机证书或预共享密钥的 IPSec 上的 L2TP 连接。
但是,单个的远程访问服务器可以对所有要求使用预共享密钥来进行身份验证的 IPSec 上的 L2TP 连接仅使用一个预共享密钥。在这种情况下,必须对所有使用预共享密钥来连接到远程访问服务器的 IPSec 上的 L2TP 的 VPN 客户端发布相同的预共享密钥。除非通过连接管理器配置文件来分发该预共享密钥,否则每个用户都必须手动键入该预共享密钥。这个限制会进一步降低部署的安全性,并且增加出错的可能性。如果远程访问服务器上的预共享密钥更改,在客户端上的预共享密钥也相应地更改之前,具有手动配置的预共享密钥的客户端将无法连接到该服务器。如果预共享密钥通过连接管理器配置文件分发给客户端,那么必须重新发布具有新的预共享密钥的配置文件,并将其重新安装在客户端计算机上。与证书不同,预共享密钥的来源和历史是无法确定的。因此,使用预共享密钥来对 IPSec 上的 L2TP 连接进行身份验证被认为是一种相对较弱的身份验证方法。如果您需要一种长期而强大的身份验证方法,那么应该考虑使用 PKI。
预共享密钥是在远程访问服务器和 IPSec 上的 L2TP 客户端上配置的一串字符。预共享密钥可以是任何不超过 256 个 Unicode 字符任意组合的非空字符串。选择预共享密钥时,应该考虑这样一个事实,即:使用“新建连接向导”创建 VPN 客户端连接的用户必须手动键入预共享密钥。要确保足够的安全性,密钥必须足够长且足够复杂,而大多数用户都很难准确地键入这样的密钥。如果 VPN 客户端提供的预共享密钥与远程访问服务器上配置的预共享密钥稍有偏差,客户端身份验证都将失败。
注意
当首次存储预共享密钥时,远程访问服务器和 VPN 客户端会尝试将 Unicode 字符串转换为 ASCII。如果尝试成功,该字符串的 ASCII 版本将用来进行身份验证。该策略确保了预共享密钥不会在传输过程中被不符合 Unicode 标准的任何设备(如其他公司的路由器)破坏。如果预共享密钥无法以 ASCII 的形式存储,将使用 Unicode 字符串。如果 Unicode 预共享密钥必须经过不符合 Unicode 标准的任何设备处理,那么连接尝试可能会失败。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|