Kryptering af netværkskommunikation
For at beskytte kommunikerede oplysninger er det nødvendigt at kryptere kommunikation mellem computere og eksternt udstyr.
Data sendt fra og modtaget af maskinen kan opsnappes, brydes eller forfalskes under transmission. Følgende data kan f.eks. overføres mellem maskinen og eksterne enheder eller computeren:
Dokumenter udskrevet i virksomheden ved hjælp af printerdriveren
Dokumenter scannet og sendt via e-mail til brug i et møde
Logonbrugernavn og logonpassword
Se tabellen nedenfor vedrørende metoderne til kryptering af data.
Data til kryptering | Krypteringsmetode | Process/reference |
|---|---|---|
Web Image Monitor IPP-print Windows-godkendelse LDAP-godkendelse Transmission via e-mail | SSL/TLS | Installer et enhedscertifikat.
|
S/MIME | Installer et brugercertifikat.
| |
Maskinadministrationsdata | SNMPv3 | Angiv et krypteringspassword.
|
Godkendelsesoplysninger for printjob | Driverkrypteringsnøgle IPP-godkendelse | Angivelse af en driverkrypteringsnøgle Angiv IPP-godkendelse.
|
Kerberos-godkendelsesdata | Varierer afhængigt af KDC-serveren | Vælg en krypteringsmetode.
|
Administratoren skal administrere gyldighedsperioden for certifikater og forny dem, inden de udløber.
Administratoren skal kontrollere, at udstederen af certifikatet er godkendt.
Installation af et selvsigneret certifikat/certifikat udstedt af en certifikatmyndighed
For at kryptere kommunikation med maskinen skal du installere et enhedscertifikat.
Der kan bruges to typer enhedscertifikater: et selvsigneret certifikat oprettet af maskinen og et certifikat udstedt af en certifikatmyndighed. Når du har behov for større pålidelighed, skal du bruge et certifikat udstedt af en certifikatmyndighed.
Installer et enhedscertifikat via betjeningspanelet eller Web Image Monitor.
Du kan kun installere ét selvsigneret certifikat via betjeningspanelet. For at installere flere certifikater eller et certifikat udstedt af en certifikatmyndighed skal du angive indstillingerne fra Web Image Monitor.
Installation af et selvsigneret certifikat fra betjeningspanelet
Log på maskinen som netværksadministrator på betjeningspanelet.
Tryk på [Indstillinger] på startskærmen.
Tryk på [Systemindstillinger] på skærmen med indstillinger.
Tryk på [Indstillinger for administrator]
[Sikkerhed][Registrér/slet enhedscertifikat].
Vælg [Certifikat nr. 1] og tryk på [Registrér].
Angiv de oplysninger, der skal inkluderes i certifikatet.
Almindeligt navn: Angiv navnet på det enhedscertifikat, der skal oprettes. Du skal indtaste et navn.
E-mailadresse: For at bruge enhedscertifikatet for S/MIME, PDF Digital Signature eller PDF/A Digital Signature skal du indtaste maskinadministratorens e-mailadresse.
Angiv Organisation, Organisationsenhed, og andre elementer efter behov.
Tryk på [OK].
Tryk på [Afslut].
Tryk på [Startskærm] (
), og log derefter ud af maskinen.
Installation af et selvsigneret certifikat/certifikat udstedt af en certifikatmyndighed fra Web Image Monitor
Log på maskinen som netværksadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [Enhedscertifikat] i kategorien [Sikkerhed].
På skærmen [Enhedscertifikat] skal du installere et selvsigneret certifikat eller et certifikat udstedt af en certifikatmyndighed ved at følge anvisningerne herunder:
Sådan installeres et selvsigneret certifikat
Opret og installer et selvsigneret certifikat.
Vælg nummeret på listen for at oprette et selvsigneret certifikat.
Klik på [Create] for at angive de nødvendige indstillinger.
Almindeligt navn: Angiv navnet på det enhedscertifikat, der skal oprettes. Du skal indtaste et navn.
E-mailadresse: For at bruge enhedscertifikatet for S/MIME, PDF Digital Signature eller PDF/A Digital Signature skal du indtaste maskinadministratorens e-mailadresse.
Angiv [Organisation], [Organisationsenhed] og andre elementer efter behov.
Klik på [OK].
"Installeret" vises i [Certifikatstatus].
Sådan installeres et certifikat udstedt af en certifikatmyndighed
Anmod om et enhedscertifikat fra en certifikatmyndighed, og installer det. Følg de samme trin for at installere et mellemliggende certifikat.
Vælg nummeret på listen for at oprette et enhedscertifikat.
Klik på [Anmodning] for at angive de nødvendige indstillinger.
Klik på [OK].
"Anmoder" vises i [Certifikatstatus].
Ansøg om et enhedscertifikat hos nøglecenteret.
Du kan ikke ansøge certifikatmyndigheden fra Web Image Monitor. Ansøgningsproceduren varierer afhængigt af certifikatmyndigheden. Kontakt udstederen for yderligere oplysninger.
I forbindelse med programmet, klik på ikonet Detaljer
og brug de oplysninger, der vises på skærmen [Certifikatoplysninger].Udstederen vises muligvis ikke, hvis du anmoder om flere certifikater på én gang. Når du installerer et certifikat, skal du kontrollere certifikatdestinationen og installationsproceduren.
Når enhedscertifikatet er blevet udstedt af certifikatmyndigheden, skal du vælge nummeret for det udstedte certifikat fra listen på skærmen [Enhedscertifikat] og derefter klikke på [Installér].
Indtast indholdet af enhedscertifikatet i indtastningsfelterne.
For at installere det mellemliggende certifikat på samme tid skal du også indtaste indholdet af det mellemliggende certifikat.
Hvis der ikke er installeret et mellemliggende certifikat udstedt af en certifikatmyndighed, vises en advarselsmeddelelse under netværkskommunikation. Når der er udstedt et mellemliggende certifikat af en certifikatmyndighed, skal du installere det mellemliggende certifikat.
Klik på [OK].
"Installeret" vises i [Certifikatstatus].
Når installationen er fuldført, skal du vælge certifikatet for hvert program på [Certificering].
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
For at udskrive data i maskinen ved hjælp af IPP-SSL skal brugeren installere et certifikat i computeren. Vælg [Rodnøglecentre, der er tillid til] som lagringssted for certifikatet, når der opnås adgang til maskinen via IPP.
For at ændre [Almindeligt navn] for enhedscertifikatet ved brug af Windows IPP-standardporten skal du slette alle tidligere konfigurerede pc-printere på forhånd og installere printerdriveren igen. Hvis du vil ændre indstillingerne for brugergodkendelse (logonbrugernavn og -password), skal du også slette en eventuelt tidligere konfigureret pc-printer først, ændre indstillingerne for brugergodkendelse og derefter installere printerdriveren igen.
Kryptering af transmission ved hjælp af SSL/TLS
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) er en metode til kryptering af netværkskommunikation. SSL/TLS forhindrer, at data bliver opsnappet, brudt eller forfalsket.
Flow af krypteret SSL/TLS-kommunikation
Brugerens computer anmoder om SSL/TLS-enhedscertifikatet og en offentlig nøgle, når der forsøges at opnå adgang til maskinen.
Enhedscertifikatet og en offentlig nøgle sendes fra maskinen til brugerens computer.
Den delte nøgle, som blev oprettet på computeren, krypteres med den offentlig nøgle, sendes til maskinen og dekrypteres derefter ved brug af den private nøgle i maskinen.
Den delte nøgle bruges til kryptering og dekryptering af data for at opnå sikre overførsler.
Installer et enhedscertifikat i maskinen på forhånd for at aktivere krypteret kommunikation.
For at kryptere kommunikation ved hjælp af SSL/TLS skal du aktivere SSL/TLS på følgende måde:
For at kontrollere, om SSL/TLS-konfiguration er aktiveret, skal du indtaste "https://(maskinens IP-adresse eller værtsnavn)/" i webbrowserens adressefelt for at få adgang til denne maskine. Hvis meddelelsen "Siden kan ikke vises" kommer frem, skal du kontrollere konfigurationen, da den aktive SSL/TLS-konfiguration er ugyldig.
Hvis SSL/TLS aktiveres for IPP (printerfunktioner), krypteres sendt data, hvorved det forhindres, at data opfanges, analyseres eller manipuleres.
Aktivering af SSL/TLS
Log på maskinen som netværksadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [SSL/TLS] i kategorien [Sikkerhed].
Vælg protokollen for at aktivere krypteret kommunikation på [SSL/TLS] for at angive oplysningerne om kommunikationsmetoden.
Tillad SSL/TLS-kommunikation: Vælg en af krypteringskommunikationstilstandene nedenfor:
Cip.tekst-prioritet: Udfører krypteret kommunikation, når der er blevet oprettet et enhedscertifikat. Hvis kryptering ikke er mulig, kommunikerer maskinen data i almindelig tekst.
Chiffertekst/almindelig tekst: Udfører krypteret kommunikation, når der oprettes forbindelse til maskinen via en "https"-adresse fra en webbrowser. Kommunikerer i almindelig tekst, når der oprettes forbindelse til maskinen via en "http"-adresse.
Kun ciphertekst: Tillader kun krypteret kommunikation. Hvis kryptering ikke er mulig af en eller anden årsag, kan maskinen ikke kommunikere. Hvis dette er tilfældet, tryk på [Systemindstillinger]
[Netværk/interface][Kommunikationssikkerhed][Tillad SSL/TLS-kommunikation] på betjeningspanelet, midlertidigt ændre kommunikationstilstanden til [Chif.tekst/klartekst] og derefter kontrollere indstillingerne.
SSL/TLS-version: Angiv TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0 for at aktivere eller deaktivere. Mindst én af disse protokoller skal være aktiveret.
Indstilling af krypteringsstyrke: Angiv, at krypteringsalgoritmen skal anvendes på AES, 3DES og RC4. Mindst et afkrydsningsfelt skal markeres.
KEY EXCHANGE: Angiv, om udskiftning af RSA-nøglen skal aktiveres eller deaktiveres.
DIGEST: Angiv, om SHA-1 DIGEST skal aktiveres eller deaktiveres.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
For at kryptere kommunikationer med SMTP-serveren skal du bruge følgende procedure for at ændre [Brug sikker forbindelse (SSL)] til [On].
Afhængigt af de tilstande, du angiver for TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0, kan maskinen muligvis ikke tilslutte til en ekstern LDAP-server.
Aktivering af SSL til SMTP-forbindelse
Log på maskinen som netværksadministrator på betjeningspanelet.
Tryk på [Indstillinger] på startskærmen.
Tryk på [Systemindstillinger] på skærmen med indstillinger.
Tryk på [Send (e-mail/mappe)][E-mail][SMTP-server].
Fra listen ved siden af Brug sikker forbindelse (SSL), vælg [On].
Når konfigurationen er fuldført, ændres portnummeret til 465 (SMTP over SSL). Ved brug af SMTP over TLS (STARTTLS) til kryptering skal portnummeret ændres til 587.
Når du angiver portnummeret til et andet nummer end 465 og 587, krypteres kommunikationen i henhold til indstillingen i SMTP-serveren.
Tryk på [OK].
Tryk på [Startskærm] (), og log derefter ud af maskinen.
Når SSL er aktiveret i SMTP-serveren, sendes internetfaxer altid via SMTP-serveren.
Kryptering af e-mail sendt fra maskinen med S/MIME
S/MIME (Secure/Multipurpose Internet Mail Extensions) er en krypteringsmetode til forbedring af sikkerheden for e-mailkommunikationer. Ved at angive S/MIME kan du sende en krypteret e-mail med en krypteret fil eller en elektronisk signatur vedhæftet.
For at bruge S/MIME skal du først angive [Administrators e-mail-adresse] i [Systemindstillinger].
Når du både sender e-mails til brugere, hvis e-mailklienter understøtter S/MIME, og brugere, hvis klienter ikke understøtter det, krypteres kun e-mails sendt til klienter, der understøtter S/MIME.
Modtageren skal bruge software, der understøtter S/MIME.
Du kan anvende enten en e-mailkryptering eller en elektronisk signatur eller anvende begge funktioner sammen.
Ved afsendelse af en e-mail vedhæftet med en elektronisk signatur behøver du ikke brugercertifikatet. Installer et enhedscertifikat, og angiv derefter den elektroniske underskrift, der skal vedhæftes e-mailen. Se afsnittet herunder for oplysninger om installation af et enhedscertifikat:
Installation af et selvsigneret certifikat/certifikat udstedt af en certifikatmyndighed
Når man bruger S/MIME, vil e-mailens størrelse være større end normalt.
Se afsnittet herunder for oplysninger om brug af S/MIME med scannerfunktion:
"Anvendelse af sikkerhedsindstillinger på en e-mail, når der sendes et scannet dokument", brugervejledning (fuld version) på engelsk
Se afsnittet herunder for oplysninger om brug af S/MIME med fax-funktion.
"Anvendelse af kryptering og brug af underskrift til udvidet sikkerhed, når der sendes en internet-fax", brugervejledning (fuld version) på engelsk
Registrering af et brugercertifikat til den bruger, der modtager e-mails
For at sende en krypteret e-mail skal du først registrere et brugercertifikat til den bruger, som modtager e-mailen.
Forbered brugercertificering på forhånd. Du kan registrere tre typer brugercertifikater til maskinen: "DER Encoded Binary X.509", "Base 64 Encoded X.509" og "PKCS #7 certificate".
Log på maskinen som brugeradministrator via Web Image Monitor.
Klik på [Adressebog] i menuen [Enhedshåndtering].
Vælg brugeren for at installere certifikatet, og klik derefter på [Skift] under fanen [Avanceret input].
I kategorien [E-mail] skal du angive de nødvendige indstillinger.
E-mailadresse: Angiv e-mailadressen for brugeren.
Brugercertifikat: Klik på [Skift], og angiv det brugercertifikat, der skal bruges.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
Brug følgende procedure til at angive oplysningerne om den kryptering, der skal aktiveres.
Når et brugercertifikat installeres i adressebogen via Web Image Monitor, vises der måske en fejlmeddelelse, hvis certifikatfilen indeholder mere end ét certifikat. I så fald skal certifikaterne installeres ét ad gangen.
Når gyldighedsperioden for det valgte brugercertifikat udløber, kan der ikke længere sendes krypterede meddelelser. Vælg et certifikat, som stadig er gyldigt.
Konfiguration af krypteringsalgoritmen og vedhæftning af en elektronisk signatur
Log på maskinen som netværksadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [S/MIME] i kategorien [Sikkerhed].
Konfigurer e-mailkryptering og elektronisk signatur.
Kryptering
Krypteringsalgoritme: Vælg krypteringsalgoritmen for den delte nøgle, der bruges til kryptering af e-mails med S/MIME. Vælg den krypteringsalgoritme, som understøttes af brugerens e-mailsoftware.
Signatur
Certifikatstatus: Det certifikat, der er angivet for S/MIME, vises.
Digest-algoritme: Vælg den digest-algoritme, der skal bruges for den elektroniske signatur.
Når der sendes e-mail via scanner, Ved overførsel via fax, Når der sendes e-mail via fax, Ved e-mail af transm.resultater via fax, Ved overførsel af filer, der er lagret i dokumentserveren (hjælpeprogram): Angiv, om metoden for vedhæftning af en elektronisk signatur i hver enkelt funktion skal vælges ved afsendelse eller overførsel af e-mails eller dokumenter.
Betjeningstilstand
Funktionstilstand: Vælg, hvor ofte gyldighedsperioden for et certifikat skal kontrolleres.
Ydelsesprioritet: Gyldighedsperioden for et brugercertifikat kontrolleres, når du vælger adressen. Gyldighedsperioden for et enhedscertifikat kontrolleres, når du trykker på [Start]. Det opfylder ikke International Evaluation Regulations for Information Security (CC-godkendelse), men det reagerer hurtigere på brugeren, når [Sikkerhedsprioritet] er valgt.
Sikkerhedsprioritet: Gyldighedsperioden kontrolleres, når du vælger adressen, og når du trykker på [Start]. Det tager lidt tid at besvare brugeren og fungerer korrekt i de forhold, der opfylder International Evaluation Regulations for Information Security (CC-godkendelse).
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
Når der vedhæftes en elektronisk signatur til en e-mail, bruges e-mailadressen for administratoren i [Fra], og e-mailadressen for den bruger, der er valgt som "Afsender", bruges i [Svar til].
Hvis et certifikat var gyldigt, da det blev overført, men er udløbet før e-mailen hentes fra mailserveren til klientcomputeren, kan e-mailen måske ikke hentes.
Hvis der opstår en fejl uden for certifikatets gyldighedsperiode, når en e-mail sendes automatisk med hukommelsestransmission eller på et bestemt tidspunkt, vil en fejl blive rapporteret som e-mail i almindelig tekst til afsenderens eller administratorens e-mailadresse. Når indsamlingsfunktionen for jobloggen er aktiveret, kan du se oplysningerne om fejlen i jobloggen.
Brugervejledning (komplet version) på engelsk
Hvis det valgte enhedscertifikat udløber, kan der ikke vedhæftes signaturer på PDF'er. Vælg et certifikat, som stadig er gyldigt.
Signaturalgoritmen for enhedscertifikatets digitale signatur, som kan vedhæftes til PDF/A-filer, er sha1WithRSA-1024.
Kryptering af data kommunikeret med maskinadministrationssoftware via SNMPv3
Når du overvåger enheder, der bruger Device Manager NX via et netværk, kan du kryptere de overførte data ved hjælp af SNMPv3-protokollen.
Log på maskinen som netværksadministrator på betjeningspanelet.
Tryk på [Indstillinger] på startskærmen.
Tryk på [Systemindstillinger] på skærmen med indstillinger.
Tryk på [Netværk/interface][Tillad SNMPv3-kommunikation].
Fra listen ved siden af Tillad SNMPv3-kommunikation, vælg [Kun kryptering].
Tryk på [OK].
Tryk på [Startskærm] (), og log derefter ud af maskinen.
For at ændre de indstillinger, der er angivet i maskinen fra Device Manager NX, skal du angive et krypteringspassword til netværksadministratoren i [Programmér/skift administrator] og derefter registrere krypteringspasswordet i SNMP-kontoen for Device Manager NX.
Hvis netværksadministratorens [Krypteringspassword] ikke indstilles, vil transmissionsdata muligvis ikke blive krypteret eller afsendt. For yderligere oplysninger om angivelse af netværksadministratorens indstilling for krypteringspassword, se afsnittet nedenfor:
Tilføjelse af administratorer eller ændringer af rettigheder
Kryptering af logonpassword for printjob
Du kan kryptere logonpasswordet for printerdriveren og passwordet for IPP-udskrivning for at øge sikkerheden mod, at passwordet brydes.
For at udføre udskrivning fra et LAN på kontoret skal du angive driverkrypteringsnøglen.
For at udføre IPP-udskrivning fra et eksternt netværk skal du kryptere passwordet for IPP-udskrivning.
Angivelse af en driverkrypteringsnøgle til kryptering af passwords
Angiv også den driverkrypteringsnøgle, der er angivet i maskinen, til printerdriveren for at kryptere og dekryptere passwords.
Log på maskinen som netværksadministrator på betjeningspanelet.
Tryk på [Indstillinger] på startskærmen.
Tryk på [Systemindstillinger] på skærmen med indstillinger.
Tryk på [Indstillinger for administrator][Sikkerhed][Udvidede sikkerhedsindstillinger].
Tryk på [Skift] ved siden af Driverkrypteringsnøgle.
Indtast det password, der skal bruges som driverkrypteringsnøgle, og tryk derefter på [Færdig].
Indtast igen password for Bekræft password, og tryk derefter på [Færdig].
Tryk to gange på [OK].
Tryk på [Startskærm] (), og log derefter ud af maskinen.
Netværksadministratoren skal give brugerne den driverkrypteringsnøgle, der er angivet på maskinen, så de kan registrere den på deres computere.
Sørg for at indtaste samme driverkrypteringsnøgle som den, der er angivet på maskinen.
Når du bruger en PCL 6-printerdriver, kan du indtaste driverkrypteringsnøglen på [Printeregenskaber]
fanen [Avancerede indstillinger].
Du kan også kryptere selve printjobbet. For yderligere oplysninger, se afsnittet nedenfor.
"Lagring af dokumenter, der skal udskrives i maskinen", brugervejledning (komplet version) på engelsk
Yderligere oplysninger om angivelse af krypteringsnøglen på printerdriveren eller TWAIN-driveren findes i hjælpen til printerdriveren.
Se hjælpen til LAN-fax-driveren for yderligere oplysninger om angivelse af krypteringsnøglen på LAN-fax-driveren.
Kryptering af passwordet for IPP-udskrivning
Når du udskriver med IPP-protokollen, skal du angive godkendelsesmetoden til [DIGEST] for at kryptere IPP-godkendelsespasswordet. Registrér brugernavnet og passwordet for IPP-godkendelse separat fra brugeroplysningerne i adressebogen.
Log på maskinen som netværksadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [IPP-godkendelse] i kategorien [Sikkerhed].
Vælg [DIGEST] i [Godkendelse].
Indtast Brugernavn og Password.
Hvis du vil bruge de brugergodkendelsesoplysninger, der er angivet på maskinen i stedet for brugernavn og password, skal du klikke på [Til] for "Brugergodkendelsesfunktion i hovedenhed". Denne funktion kan bruges på maskiner, der er installeret med RICOH Always Current Technology v1.2 eller senere.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
Kryptering af kommunikation mellem KDC og maskinen
Du kan kryptere kommunikationer mellem maskinen og KDC-serveren (Key Distribution Center), når du bruger Kerberos-godkendelse med Windows- eller LDAP-godkendelse for at sikre kommunikationen.
Den understøttede krypteringsalgoritme afhænger af typen af KDC-server.
Log på maskinen som maskinadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [Kerberos-godkendelse] i kategorien [Enhedsindstillinger].
Vælg den krypteringsalgoritme, der skal aktiveres.
Kun Heimdal understøtter DES3-CBC-SHA1.
For at bruge DES-CBC-MD5 i Windows Server 2008 R2 eller nyere skal du aktivere det i indstillingerne for operativsystemet.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.