加密网络通讯
要保护通讯信息,必须加密计算机与外部设备之间的通讯。
传输期间,计算机收发的数据可能会被截获、破解或篡改。例如,可以在机器与外部设备或计算机之间传输以下数据:
公司中使用打印机驱动程序打印的文档
会议中使用的扫描文档或电子邮件发送的文档
登录用户名和登录密码
在下表中查看加密数据的方法。
要加密的数据 | 加密方法 | 本节中的流程/参考 |
|---|---|---|
Web Image Monitor IPP打印 Windows验证 LDAP验证 电子邮件传送 | SSL/TLS | 安装设备证书。
|
机器管理数据 | SNMPv3 | 指定加密密码。
|
打印作业的验证信息 | 驱动程序加密密钥 IPP验证 | 指定驱动程序加密密钥 指定IPP验证。
|
Kerberos验证数据 | 因KDC服务器而不同 | 选择加密方式。
|
安装自签名证书/证书颁发机构颁发的证书
要加密与机器的通讯,请安装设备证书。
可以使用两种类型的设备证书:机器创建的自签名证书和证书颁发机构颁发的证书。当需要更高可靠性时,请使用证书颁发机构颁发的证书。
从Web Image Monitor安装自签名证书/证书颁发机构颁发的证书
以管理员身份从Web Image Monitor登录机器。
从[设备管理]菜单,单击[配置]。
在“安全”上,单击[Device Certificate]。
在“Device Certificate”画面上,遵循以下说明安装自签名证书或证书颁发机构颁发的证书:
要安装自签名证书
创建和安装自签名证书。
从列表中选择编号以创建自签名证书。
单击[Create]以指定必需的设置。
通用名称:输入要创建的设备证书的名称。您必须输入名称。
输入“组织”、“组织单位”以及其他必需项目。
单击[确定]。
“已安装”显示在“证书状态”中。
要安装证书颁发机构颁发的证书
从证书颁发机构请求一个设备证书,进行安装。所遵循步骤与安装中间证书相同。
从列表中选择一个编号以创建设备证书。
单击[申请]以指定必需的设置。
单击[确定]。
“正在申请”显示在“证书状态”中。
向证书颁发机构申请设备证书。
您无法从Web Image Monitor向证书颁发机构申请。申请程序视证书颁发机构而异。有关详细信息,请与证书颁发机构联系。
若需申请,请单击详情图标
并使用“证书详情”中显示的信息。如果您同时申请多个证书,则可能不会显示颁发位置。当您安装证书时,请务必检查证书目的地和安装步骤。
在证书颁发机构颁发设备证书后,请从“Device Certificate”画面上的列表中选择颁发证书的编号,然后单击[安装]。
在条目字段中输入设备证书的内容。
要同时安装中间证书,请也输入中间证书的内容。
如果未安装证书颁发机构颁发的中间证书,网络通讯期间会显示警告消息。当证书颁发机构已颁发了中间证书时,您必须安装中间证书。
单击[确定]。
“已安装”显示在“证书状态”中。
完成安装后,在“证书”上为每种应用选择证书。
单击[确定]。
完成配置后,请单击[确定]并退出Web浏览器。
要使用IPP-SSL在机器中打印数据,用户必须在计算机中安装证书。通过IPP访问机器时,请为证书保存位置选择“受信任的根证书颁发机构”。
在使用Windows标准IPP端口时,若要更改设备证书的“通用名称”,请事先删除之前配置的PC打印机,并重新安装打印机驱动程序。此外,如果还要更改用户验证设置(登录用户名和密码),也请事先删除先前配置的PC打印机,更改用户验证设置,然后重新安装该打印机驱动程序。
使用SSL/TLS加密传输
SSL(安全套接字层)/TLS(传输层安全)是一种加密网络通讯的方法。SSL/TLS可防止数据被截获、破解或篡改。
SSL/TLS加密通讯流程图
用户计算机在访问机器时请求SSL/TLS设备证书和公钥。
设备证书和公共密钥从机器发送到用户计算机。
计算机创建的共享密钥将使用公钥进行加密并发送给机器,然后使用机器中的私钥进行解密。
共享密钥用于数据加密和解密,从而实现安全的传送。
要启用加密通讯,请提前在机器中安装设备证书。
要使用SSL/TLS加密通讯,请按以下所示启用SSL/TLS:
启用SSL/TLS
以管理员身份从Web Image Monitor登录机器。
从[设备管理]菜单,单击[配置]。
在“安全”上,单击[SSL/TLS]。
在“SSL/TLS”上选择可启用加密通讯的协议,以指定有关通讯方式的详细信息。
允许SSL/TLS通信:选择以下其中一种加密通讯模式:
密文优先级:创建了设备证书后执行加密通讯。如果不能加密,则机器以明文形式通讯数据。
密文/明文:连接到机器时,使用“https”地址从Web浏览器执行加密通讯。连接到机器时,使用“http”地址以明文方式通讯。
仅限密文:仅允许加密通讯。如果无法加密,机器将不会进行通信。如果由于某些原因无法加密,机器则无法通讯。如果发生这种情况,请在控制面板上选择[系统设置]
[接口设置][网络][允许SSL/TLS通信],将通讯模式临时更改为[密文/明文],然后检查设置。
SSL/TLS版本:指定TLS1.2、TLS1.1、TLS1.0和SSL3.0启用或禁用。您必须至少启用这些协议之一。
加密强度设置:指定加密算法以应用到AES、3DES和RC4。必须勾选一个复选框。
以下类型的通信和数据始终由SSL3.0进行加密:通过@Remote通信和传输到Remote Communication Gate S的日志。
单击[确定]。
完成配置后,请单击[确定]并退出Web浏览器。
要使用SMTP服务器加密通讯,请使用以下步骤将“SSL”更改为[开]。
为SMTP连接启用SSL
以管理员身份从控制面板登录机器。
在“主页”画面上,按[设置]。
按设置画面上的[机器特性]。
按[系统设置][文件转送][SMTP服务器]显示设置画面。
按[
],然后按“使用安全连接(SSL)”的[开]。
完成配置后,端口号更改为465(SMTP over SSL)。当使用SMTP over TLS(STARTTLS)进行加密时,更改将端口号更改为587。
当您将端口号指定为465和587之外的编号时,按照SMTP服务器中的设置加密通讯。
按[确定]。
完成配置后,请按“主页”(
)。
SMTP服务器中启用了SSL时,始终通过SMTP服务器发送互联网传真。
通过SNMPv3加密与机器管理软件通讯的数据
在通过网络使用Device Manager NX监控设备时,可以使用SNMPv3协议加密传输的数据。
以管理员身份从控制面板登录机器。
在“主页”画面上,按[设置]。
按设置画面上的[机器特性]。
按[系统设置][接口设置][网络][允许SNMPv3通信]显示设置画面。
按[仅限加密]。
按[确定]。
完成配置后,请按“主页”()。
要从Device Manager NX更改机器中指定的设置,请在[编入/更改管理员]中向管理员指定加密密码,然后将加密密码注册在Device Manager NX的SNMP账户中。
加密打印作业的登录密码
您可以加密打印机驱动程序的登录密码以及IPP打印的密码,以提高安全性,防止破解密码。
要从办公室内的LAN执行打印,请指定驱动程序加密密钥。
要从外部网络执行IPP打印,请加密IPP打印的密码。
指定驱动程序加密密钥来加密密码
也将机器中指定的驱动程序加密密钥指定给打印机驱动程序,以加密和解密密码。
以管理员身份从控制面板登录机器。
在“主页”画面上,按[设置]。
按设置画面上的[机器特性]。
按[系统设置][管理员工具][安全扩展][驱动程序加密密钥]显示设置画面。
输入要用作驱动程序加密密钥的字符串,然后按[确定]。
完成配置后,请按“主页”()。
管理员必须将在机器上指定的驱动程序加密密钥提供给用户,以便他们能够在其计算机上注册密钥。
请确保输入的驱动程序加密密钥与在机器上指定的密钥相同。
在使用PCL 6打印机驱动程序时,您可以在[打印机属性]
[高级选项]选项卡上输入驱动程序加密密钥。
加密IPP打印的密码
在使用IPP协议打印时,请将验证方法指定为[DIGEST]以加密IPP验证密码。将IPP认证的用户名和密码与地址簿中的用户信息分开注册。
以管理员身份从Web Image Monitor登录机器。
从[设备管理]菜单,单击[配置]。
在“安全”类别中,单击[IPP验证]。
选择“DIGEST”上的“验证”。
输入用户名和密码。
单击[确定]。
在完成配置后,退出Web浏览器。
加密KDC与机器之间的通讯
在使用Windows的Kerberos验证或LDAP验证时,您可以加密机器与密钥分发中心(KDC)服务器之间的通讯,以保护通讯。
根据KDC服务器的类型,受支持的加密算法会有所不同。
以管理员身份从Web Image Monitor登录机器。
从[设备管理]菜单,单击[配置]。
在“Device Settings”类别中,单击[Kerberos认证]。
选择要启用的加密算法。
仅Heimdal支持DES3-CBC-SHA1。
要在Windows Server 2008 R2及更高版本中使用DES-CBC-MD5,请在操作系统设置中将其启用。
单击[确定]并退出Web浏览器。