Šifrování síťové komunikace
Šifrování komunikace mezi počítači a externím vybavením je nezbytné pro ochranu přenášených informací.
Data odesílaná ze zařízení a přijímaná zařízením mohou být během přenosu zachycena, analyzována nebo pozměněna. Mezi tiskovým zařízením a externími zařízeními nebo počítači mohou být přenášena například následující data:
Dokumenty tištěné v rámci společnosti s použitím tiskových ovladačů
Přihlašovací uživatelská jména a hesla
Metody šifrování dat jsou uvedeny v následující tabulce.
Šifrovaná data | Metoda šifrování | Proces/Reference |
|---|---|---|
Web Image Monitor Tisk IPP Ověření Windows Ověření LDAP | SSL/TLS | Nainstalujte certifikát zařízení.
|
Správa zařízení | SNMPv3 | Zadejte šifrovací heslo.
|
Ověřovací informace tiskových úloh | Šifrovací klíč ovladače Ověření IPP | Zadání šifrovacího klíče ovladače Zadejte ověření IPP.
|
Data ověření Kerberos | Závisí na serveru KDC. | Vyberte metodu šifrování.
|
Správce je požádán, aby se staral o datum ukončení platnosti certifikátu a obnovil certifikát před vypršením jeho platnosti.
Správce je požádán, aby zkontroloval, že vystavovatel certifikátu je platný.
Instalace certifikátu s vlastním podpisem / certifikátu vydaného certifikačním úřadem
Chcete-li šifrovat komunikaci se zařízením, zadejte certifikát zařízení.
Lze použít dva typy certifikátů. Certifikát s vlastním podpisem vytvořený zařízením a certifikát vydaný certifikačním úřadem. Potřebujete-li vyšší spolehlivost, použijte certifikát vydaný certifikačním úřadem.
Nainstalujte certifikát zařízení pomocí aplikace Web Image Monitor.
Instalace certifikátu s vlastním podpisem / certifikátu vydaného certifikačním úřadem
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
V části „Zabezpečení“ klikněte na pol. [Certifikát zařízení].
Na obrazovce „Device Certificate“ nainstalujte certifikát s vlastním podpisem nebo certifikát vydaný certifikačním úřadem podle následujících pokynů:
Instalace certifikátu s vlastním podpisem
Vytvořte a nainstalujte certifikát s vlastním podpisem.
Výběrem čísla v seznamu vytvořte certifikát s vlastním podpisem.
Klikněte na [Create] a zadejte požadovaná nastavení.
Obecný název: Zadejte název vytvářeného certifikátu. Zadání názvu je povinné.
Podle potřeby zadejte údaje „Organizace“, „Organizační jednotka“ a další položky.
Klikněte na [OK].
V poli „Instalován“ se zobrazí „Stav certifikátu“.
Instalace certifikátu vydaného certifikačním úřadem
Vyžádejte si certifikát od certifikačního úřadu a nainstalujte jej. S použitím stejných kroků nainstalujte pomocný certifikát.
Výběrem čísla v seznamu vytvořte certifikát zařízení.
Klikněte na [Požadavek] a zadejte požadovaná nastavení.
Klikněte na [OK].
V poli „Stav certifikátu“ se zobrazí „Požadováno“.
Požádejte certifikační úřad o certifikát zařízení.
Aplikace Web Image Monitor neumožňuje požádat certifikační úřad. Postup požadavku se liší v závislosti na certifikačním úřadu. Podrobné informace si vyžádejte u certifikačního úřadu.
Pro potřeby požadavku klikněte na ikonu Podrobnosti
a použijte informace, které se objeví v části „Podrobnosti certifikátu“.Pokud požádáte o více certifikátů současně, místo vydání se nemusí zobrazit. Při instalaci certifikátu si ověřte cíl certifikátu a postup instalace.
Jakmile certifikační úřad vydá certifikát zařízení, vyberte číslo vydaného certifikátu v seznamu na obrazovce „Device Certificate“ a poté klikněte na možnost [Instalovat].
Zadejte obsah certifikátu zařízení do příslušných polí.
Chcete-li současně nainstalovat pomocný certifikát, zadejte rovněž obsah pomocného certifikátu.
Není-li nainstalován pomocný certifikát vydaný certifikačním úřadem, během síťové komunikace se zobrazí varovná zpráva. Pokud certifikační úřad vydal pomocný certifikát, musíte jej nainstalovat.
Klikněte na [OK].
V poli „Instalován“ se zobrazí „Stav certifikátu“.
Po dokončení instalace vyberte certifikát pro jednotlivé aplikace v části "Certifikace".
Klikněte na [OK].
Po dokončení konfigurace klikněte na [OK] a ukončete webový prohlížeč.
Chcete-li vytisknout data v zařízení pomocí IPP-SSL, musí uživatel nainstalovat do počítače certifikát. Pokud k zařízení přistupujete přes IPP, zvolte pro úložiště certifikátů „Důvěryhodné kořenové certifikační úřady“.
Chcete-li změnit „Obecný název“ certifikátu zařízení při používání standardního portu IPP systému Windows, odstraňte nejprve všechny dříve instalované tiskárny v počítači a znovu nainstalujte ovladač tiskárny. Pokud chcete změnit nastavení ověření uživatele (přihlašovací uživatelské jméno a heslo), rovněž odstraňte všechny dříve konfigurované tiskárny v počítači, změňte nastavení ověření uživatele a poté znovu nainstalujte ovladač tiskárny.
Šifrování přenosu s použitím SSL/TLS
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) je metoda šifrování síťové komunikace. SSL/TLS zabraňuje možnému zachycování, analýze nebo pozměňování dat.
Chcete-li ověřit, zda je konfigurace SSL aktivována, do adresového řádku webového prohlížeče zadejte adresu „https://(IP adresa tiskárny nebo název hostitele)/“, čímž získáte přístup k tiskárně. Pokud se zobrazí zpráva „Stránku nelze zobrazit“, zkontrolujte konfiguraci, protože stávající konfigurace SSL/TLS je neplatná.
Pokud povolíte SSL/TLS pro IPP (funkce tiskárny), odesílaná data budou zašifrována, což zabrání jejich zachycení, analyzování nebo manipulaci s nimi.
Průběh šifrované komunikace SSL/TLS
Počítač uživatele si při přístupu k zařízení vyžádá jeho certifikát SSL/TLS a veřejný klíč.
Certifikát zařízení a veřejný klíč jsou odeslány z tiskárny do počítače uživatele.
Sdílený klíč vytvořený na počítači je zašifrován pomocí veřejného klíče, odeslán do zařízení a poté dešifrován pomocí soukromého klíče v zařízení.
Sdílený klíč se používá pro šifrování a dešifrování dat pro dosažení zabezpečeného přenosu.
Chcete-li aktivovat šifrovanou komunikaci, nejprve nainstalujte do zařízení jeho certifikát.
Chcete-li šifrovat komunikaci pomocí SSL/TLS, aktivujte SSL/TLS následovně:
Aktivace SSL/TLS
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
Klepněte na položku [SSL/TLS] v části „Zabezpečení“.
Výběrem protokolu „SSL/TLS“ aktivujte šifrovanou komunikaci a zadejte podrobnosti metody komunikace.
Povolit komunikaci SSL/TLS: Vyberte jeden z následujících režimů šifrované komunikace:
Priorita šifr. textu: Šifruje komunikaci, pokud byl vytvořen certifikát zařízení. Pokud šifrování není možné, zařízení přenáší data jako nešifrovaný text.
Šifrovaný text/Prostý text: Komunikuje šifrovaně při připojení k zařízení pomocí adresy „https“ ve webovém prohlížeči. Komunikuje pomocí nešifrovaného textu při připojení k zařízení pomocí adresy „http“.
Jen šifrovaný text: Povolí pouze zašifrovanou komunikaci. Jestliže šifrování není možné, nebude tiskárna komunikovat. Pokud z nějakého důvodu není šifrování možné, zařízení nemůže komunikovat. Jedná-li se o tento případ, zvolte [Host.rozhraní]
[Síťové nastavení][Povolit kom. SSL/TLS] na ovládacím panelu, dočasně změňte metodu komunikace na [Šifrovaný text/Čistý text] a zkontrolujte nastavení.
Verze SSL/TLS: Zvolte TLS 1.2, TLS 1.1, TLS 1.0 nebo SSL 3.0 pro zapnutí nebo vypnutí. Nejméně jeden z těchto protokolů musí být aktivován.
Nastavení síly šifrování: Zadejte šifrovací algoritmus pro AES, 3DES a RC4. Musíte vybrat aspoň jedno zaškrtávací pole.
KEY EXCHANGE: Zadejte, zda povolit nebo zakázat výměnu klíče RSA.
DIGEST: Zadejte, zda povolit nebo zakázat SHA-1 DIGEST.
Klikněte na [OK].
Po dokončení konfigurace klikněte na [OK] a ukončete webový prohlížeč.
Chcete-li šifrovat komunikaci s SMTP serverem, použijte následující postup a změňte „SSL“ na [Zapnuto].
V závislosti na stavech, které zvolíte pro TLS 1.2, TLS 1.1, TLS 1.0 nebo SSL 3.0, nemusí být zařízení schopné se připojit k externímu serveru LDAP.
Povolení SSL pro připojení SMTP
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
Klepněte na položku [E-mail] v části „Nastavení zařízení“.
Pod „SMTP“ klikněte na [Zapnuto] u položky „Použít zabezp. připojení (SSL)“.
Po dokončení konfigurace se číslo portu změní na 465 (SMTP přes SSL). Při použití šifrování SMTP přes TLS (STARTTLS), změňte číslo portu na 587.
Když zadáte jiné číslo portu než 465 a 587, komunikace bude šifrována podle nastavení na serveru SMTP.
Klikněte na [OK] a ukončete webový prohlížeč.
Šifrování dat při komunikaci se softwarem pro správu zařízení pomocí SNMPv3
Při monitorování zařízení pomocí nástroje Device Manager NX přes síť můžete přenášená data šifrovat pomocí protokolu SNMPv3.
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
Klepněte na položku [Zabezpečení sítě] v části „Zabezpečení“.
U položky „Povolit komunikaci SNMPv3“ v nabídce „SNMP“, klikněte na [Pouze šifrování].
Klikněte na [OK] a ukončete webový prohlížeč.
Chcete-li změnit nastavení zařízení pomocí nástroje Device Manager NX, zadejte pro správce sítě šifrovací heslo v nabídce [Naprogramovat/změnit správce], a poté zaregistrujte šifrovací heslo pro účet SNMP nástroje Device Manager NX.
Šifrování přihlašovacího hesla tiskových úloh
Můžete zašifrovat přihlašovací heslo k ovladači tiskárny a heslo pro tisk IPP a zvýšit tak zabezpečení vůči prolomení hesla.
Chcete-li tiskout ze sítě LAN uvnitř kanceláře, zadejte šifrovací klíč ovladače.
Chcete-li tisknout pomocí IPP z externí sítě, zašifrujte heslo pro IPP tisk.
Zadání šifrovacího klíče ovladače k šifrování hesel
Zadejte šifrovací klíč ovladače nastavený v zařízení také do tiskového ovladače pro šifrování a dešifrování hesla.
Stiskněte tlačítko [Menu].
Přihlaste se k zařízení na ovládacím panelu jako správce sítě.
Vyberte [Možnosti zabezpečení] a poté stiskněte tlačítko [OK].
Vyberte [Zvýšené zabezpečení] a pak stiskněte tlačítko [OK].
Vyberte [Šifrovací klíč ovladače] a pak stiskněte tlačítko [OK].
Stiskněte tlačítko výběru pod pol. [Zadat].
„Používání tlačítek výběru“, uživatelský návod (plná verze) v angličtině
Stiskněte tlačítko [
] or [
] a vyberte znak pro zadání názvu šifrovacího klíše ovladače a potom stiskněte tlačítko [OK] pro vložení znaku. Tento krok zopakujte a zadejte celý název šifrovacího klíče ovladače, potom stiskněte výběrové tlačítko [Přijmout] níže.
Zadání velkých písmen, číslic a symbolů provedete stisknutím tlačítka [ABC/123] níže.
Zadaný znak lze odstranit pomocí tlačítka [Smazat] níže.
Zadejte šifrovací klíč ovladače obsahující maximálně 32 alfanumerických znaků.
Pro opakované zadání šifrovacího klíče ovladače zopakujte kroky 6 a 7.
Stiskněte tlačítko výběru pod pol. [Odhl.].
Správce sítě musí poskytnout uživatelům šifrovací klíč ovladače zadaný v zařízení, aby jej mohli zaregistrovat ve svých počítačích.
Zkontrolujte, že je zadán stejný šifrovací klíč jako na zařízení.
Pokud se nezobrazí požadovaná nabídka, mačkejte tlačítko [
] nebo [
] na ovládacím panelu, dokud se nezobrazí.
Zašifrování hesla pro tisk IPP
Při tisku pomocí protokolu IPP zadejte metodu ověření do pole [DIGEST] pro šifrování hesla ověření IPP. Zaregistrujte uživatelské jméno a heslo pro ověření IPP odděleně od informací o uživateli v adresáři.
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
Klepněte na položku [Ověření IPP] v části Zabezpečení.
Vyberte „DIGEST“ pod „Ověření“.
Zadejte Uživatelské jméno a Heslo.
Klikněte na [OK].
Po dokončení konfigurace ukončete webový prohlížeč.
Šifrování komunikace mezi KDC a zařízením
Můžete šifrovat komunikaci mezi zařízením a KDC serverem při použití ověření Kerberos v prostředí Windows nebo ověření LDAP a zabezpečit tak komunikaci.
Podporovaný šifrovací algoritmus se liší v závislosti na typu KDC serveru.
Přihlaste se k zařízení jako jeho správce pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na pol. [Konfigurace].
Stiskněte [Ověření Kerberos] v kategorii „Device Settings“ (Nastavení zařízení).
Vyberte algoritmus šifrování, který se má povolit.
Pouze Heimdal podporuje DES3-CBC-SHA1.
Chcete-li použít DES-CBC-MD5 v prostředí Windows Server 2008 R2 nebo novějším, povolte jej v nastavení operačního systému.
Klikněte na [OK] a ukončete webový prohlížeč.