機器で選択したセキュリティーレベルのIPsec SA設定と同一の条件をPC側で設定します。設定方法はOSによって異なります。ここではセキュリティーレベルで「認証と暗号化(低)」を選択したときのWindows 7側の設定を例に説明します。
[スタート]メニューから[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows 8のときは、画面の右上端または、右下端をポイントし[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows XPのときは、[スタート]メニューから[コントロールパネル]-[パフォーマンスとメンテナンス]-[管理ツール]をクリックします。
[ローカルセキュリティポリシー]をダブルクリックします。
[IPセキュリティポリシー(ローカルコンピュータ)]をクリックします。
Windows XPのときは、[ローカルコンピュータのIPセキュリティポリシー]をクリックします。
[操作]メニューから[IPセキュリティポリシーの作成]をクリックします。
[IPセキュリティポリシーウィザード]が表示されます。
[次へ]をクリックします。
任意のIPセキュリティポリシー名を入力し、[次へ]をクリックします。
「既定の応答規則をアクティブにする」のチェックを外し、[次へ]をクリックします。
「プロパティを編集する」にチェックを付け、[完了]をクリックします。
[全般]タブを選択し、[設定]をクリックします。
Windows XPのときは、[全般]タブを選択し[詳細設定]をクリックします。
「新しいキーを認証して生成する間隔」に機器の自動鍵交換設定のフェーズ1で設定した有効期間を分単位で入力し、[メソッド]をクリックします。
機器の自動鍵交換設定のフェーズ1で選択されている「暗号化」(暗号化アルゴリズム)、「整合性」(ハッシュアルゴリズム)、「Diffie-Hellmanグループ」の組み合わせが[セキュリティメソッドの優先順位]に存在しているか確認します。
存在しないときは[追加]をクリックし作成します。
[OK]を2回クリックします。
[規則]タブを選択し、[追加]をクリックします。
「セキュリティの規則ウィザード」が表示されます。
[次へ]をクリックします。
「この規則ではトンネルを指定しない」を選択し、[次へ]をクリックします。
IPsecを適用するネットワークの種類を選択し、[次へ]をクリックします。
Windows XPのときは、認証方法を選択して[次へ]をクリックします。
機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。
Windows 7/8のときは、手順18に進みます。
「IPフィルター一覧」で[追加]をクリックします。
「名前」に任意のIPフィルター名を入力し、[追加]をクリックします。
「IPフィルターウィザード」が表示されます。
[次へ]をクリックします。
必要に応じてIPフィルターの説明を入力し、[次へ]をクリックします。
Windows XPのときは、手順22に進みます。
「発信元アドレス」で「このコンピュータのIPアドレス」を選択し、[次へ]をクリックします。
「宛先アドレス」で「特定のIPアドレスまたはサブネット」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。
Windows XPのときは「特定のIPアドレス」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。
IPsecの対象とするプロトコルを選択し、[次へ]をクリックします。
IPv6でIPsecを使用するときは、対象プロトコルで[その他]のプロトコル番号[58]を選択します。
[完了]をクリックします。
[OK]をクリックします。
設定したIPフィルターを選択し、[次へ]をクリックします。
[追加]をクリックします。
「フィルター操作ウィザード」が表示されます。
[次へ]をクリックします。
任意のフィルター操作名を入力し、[次へ]をクリックします。
[セキュリティのネゴシエート]を選択し、[次へ]をクリックします。
[セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する]を選択し、[次へ]をクリックします。
Windows XPのときは[セキュリティで保護されていない通信に戻る]を選択し[次へ]をクリックします。
「カスタム」を選択し、[設定]をクリックします。
「整合性アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている認証アルゴリズムを選択します。
「暗号化アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている暗号化アルゴリズムを選択します。
「セッションのキーの設定」で「新しいキーの生成間隔(R)」にチェックを付け、機器の自動鍵交換設定のフェーズ2で設定した有効期間を秒単位で入力します。
[OK]をクリックします。
[次へ]をクリックします。
[完了]をクリックします。
作成したフィルター操作を選択し、[次へ]をクリックします。
自動鍵交換設定でセキュリティーレベルを「認証と暗号化(高)」に指定するときは、作成したフィルター操作を選択し[編集]をクリックします。フィルター操作のプロパティ画面で[セッションキーのPFS (Perfect Forward Secrecy)を使う]をチェックします。WindowsでPFSを使用するときは、自動鍵交換設定のフェーズ2で使用されるPFSグループ番号は、ステップ11にあるDiffie-Hellmanグループ番号から自動的に変換されます。このため、機器の自動鍵交換設定で指定されたセキュリティーレベルを変更し、「ユーザー設定」が表示される状況でIPsecを有効にするには、機器の「Diffie-Hellmanグループフェーズ1」と「PFSフェーズ2」のグループ番号を同じにします。
認証方法を選択して[次へ]をクリックします。Windows XPのときは、手順42に進みます。
機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。
[完了]をクリックします。
[OK]をクリックします。
Windows XPのときは[閉じる]をクリックします。
新しいIPセキュリティポリシー(IPsec設定)が設定されます。
設定したセキュリティポリシー名を選択し、右クリックして[割り当て]をクリックします。
PCのIPsec設定が有効になります。
PCのIPsecを無効にするときは、設定したセキュリティポリシー名を選択し、右クリックして[割り当ての解除]をクリックします。