了解 IKE 身份验证

互联网密钥交换协商仅提供建立双方可以通信的安全通道的能力。您仍然需要定义它们如何相互进行身份验证。这是使用 IKE 身份验证来确保另一方有权建立 VPN 的地方。

以下 IKE 身份验证可用：

• 预共享密钥身份验证 — 建立 VPN 连接的最常见方法是使用预共享密钥，预共享密钥本质上是双方相同的密码。此密码必须在带外机制中提前交换，例如通过电话、口头交换或通过不太安全的机制（甚至是电子邮件）。然后，双方通过使用对等方的公钥加密预共享密钥来相互验证，该公钥在 Diffie-Hellman 交换中获得。

  预共享密钥通常部署在单个组织内部或不同组织之间的站点到站点 IPsec VPN。为确保以最安全的方式使用预共享密钥，预共享密钥必须至少包含 8 个字符，建议使用 12 个或更多字符，包括字母、数字和非字母数字字符的组合，以及字母的不同大小写。预共享密钥不应使用字典单词。

• 证书身份验证 - 基于证书的身份验证被认为比预共享密钥身份验证更安全，因为证书密钥不会轻易泄露。证书在具有大量对等站点的大规模环境中也更理想，这些对等站点不应全部共享预共享密钥。证书由公钥和私钥组成，可由称为证书颁发机构 （CA） 的主证书签名。通过这种方式，可以检查证书以查看它们是否使用受信任的 CA 进行签名。