PSK(共享密钥)
预共享密钥验证不需要在公钥结构 (PKI) 方面上进行硬件投资与配置,只在使用计算机证书进行 L2TP/IPSec 验证时需要用到它。在远程访问服务器上配置预共享密钥很简单,在远程访问客户端上配置它也相对容易。如果预共享密钥是以放在“连接管理器”配置文件内的方式发行,则对用户可以是透明的。如果您要建立 PKI 或者在管理 Active Directory 域,则可以配置“路由和远程访问”以接受使用计算机证书或预共享密钥的 L2TP/IPSec 连接。
但是,单个远程访问服务器对需要预共享密钥进行身份验证的所有 L2TP/IPSec 连接只使用一个预共享密钥。因此,必须对使用预共享密钥连接到远程访问服务器的所有 L2TP/IPSec VPN 客户端发行相同的预共享密钥。除非预共享密钥是以放在“连接管理器”配置文件内的方式分发,否则每个用户必须手动输入预共享密钥。此限制进一步降低了部署安全性,增加了发生错误的机率。而且,如果远程访问服务器上的预共享密钥发生更改,则手工配置预共享密钥的客户端将无法连接到该服务器上,除非客户端上的预共享密钥也进行更改。如果预共享密钥是以放在“连接管理器”配置文件内的方式分发给客户端的,则必须重新发行包括新预共享密钥的配置文件,并在客户端计算机上进行重新安装。与证书不同,预共享密钥的起源和历史都无法确定。由于这些原因,使用预共享密钥验证 L2TP/IPSec 连接被认为是一种安全性相对较差的身份验证方法。如果需要一种长期、可靠的身份验证方法,则应考虑使用 PKI。