预共享密钥

预共享密钥验证不需要在公钥结构 (PKI) 方面上进行硬件投资与配置，只在使用计算机证书进行 L2TP/IPSec 验证时需要用到它。在远程访问服务器上配置预共享密钥很简单，在远程访问客户端上配置它也相对容易。如果预共享密钥是以放在“连接管理器”配置文件内的方式发行，则对用户可以是透明的。如果您要建立 PKI 或者在管理 Active Directory 域，则可以配置“路由和远程访问”以接受使用计算机证书或预共享密钥的 L2TP/IPSec 连接。

但是，单个远程访问服务器对需要预共享密钥进行身份验证的所有 L2TP/IPSec 连接只使用一个预共享密钥。因此，必须对使用预共享密钥连接到远程访问服务器的所有 L2TP/IPSec VPN 客户端发行相同的预共享密钥。除非预共享密钥是以放在“连接管理器”配置文件内的方式分发，否则每个用户必须手动输入预共享密钥。此限制进一步降低了部署安全性，增加了发生错误的机率。而且，如果远程访问服务器上的预共享密钥发生更改，则手工配置预共享密钥的客户端将无法连接到该服务器上，除非客户端上的预共享密钥也进行更改。如果预共享密钥是以放在“连接管理器”配置文件内的方式分发给客户端的，则必须重新发行包括新预共享密钥的配置文件，并在客户端计算机上进行重新安装。与证书不同，预共享密钥的起源和历史都无法确定。由于这些原因，使用预共享密钥验证 L2TP/IPSec 连接被认为是一种安全性相对较差的身份验证方法。如果需要一种长期、可靠的身份验证方法，则应考虑使用 PKI。

预共享密钥是可同时配置在远程访问服务器和客户端上的文本字符串。运行 Windows Server 2003 家族产品的远程访问服务器可以只配置一个单一的预共享密钥。所有连接到使用预共享密钥的远程访问服务器的 L2TP/IPSec VPN 客户端必须使用相同的预共享密钥。预共享密钥可以是 8 到 256 个字符之间任意组合的任意非空字符串。如果远程访问服务器的预共享密钥和 VPN 客户端提供的预共享密钥有任何偏差，则客户端身份验证将失败。

通过使用 PIN 对预共享密钥进行加密，可增强分发预共享密钥配置文件的安全性。通过单独分发服务配置文件和 PIN，可以减少未授权用户安装配置文件和访问网络的机会。PIN 必需包括不少于 4 个但不多于 15 个字符。确保在安全方式下将 PIN 分发给用户。仅当用户安装配置文件时要求使用 PIN。

配置服务配置文件使用预共享密钥：

1.在“VPN 项目”窗格上，单击要配置为使用预共享密钥的 VPN 项目，然后单击“编辑”。 

2.在“安全”选项卡上的“通用安全设置”下，单击“配置”。 

3.在“VPN 战略”下，单击“使用 L2TP/IPSec，如果有的话”，并选中“使用 L2TP/IPsec 时使用预共享密钥”复选框。完成配置您的配置文件所需安全性的其他任何方面，并单击“确定”。 

4.编辑需要预共享密钥的各个 VPN 项目，并且单击“下一步”。 

5.在“预共享密钥”窗格上，键入一个预共享密钥。

6.执行以下任一操作： 

（1）键入 PIN 加密预共享密钥。

（2）清除“使用 PIN 加密预共享密钥”复选框。 

7.单击“下一步”，完成建立配置文件。