Kryptere nettverkskommunikasjon
Hvis du vil beskytte kommunisert informasjon, må du kryptere informasjon mellom datamaskiner og eksternt utstyr.
Data sendt fra og mottatt av maskinen, kan fanges opp, knekkes eller tukles med under overføring. Følgende data kan for eksempel overføres mellom maskinen og eksterne enheter eller datamaskinen:
Dokumenter skrevet ut i selskapet med skriverdriveren
Dokumenter skannet og sendt via e-post, for bruk på et møte
Brukernavn og passord for innlogging
Se nedenstående tabell for metodene for kryptering av data.
Data som skal krypteres | Krypteringsmetode | Fremgangsmåte/referanse |
|---|---|---|
Web Image Monitor IPP-utskrift Windows-autentisering LDAP-autentisering E-postoverføring | SSL/TLS | Installer et enhetssertifikat.
|
E-post | S/MIME | Installer et brukersertifikat.
|
Maskinadministrasjonsdata | SNMPv3 | Angi et krypteringspassord.
|
Autentiseringsinformasjon for utskriftsjobber | Driverkrypteringsnøkkel IPP-autentisering | Angi en driverkrypteringsnøkkel Angi IPP-autentisering.
|
Kerberos-autentiseringsdata | Varierer avhengig av KDC-serveren | Velg en krypteringsmetode.
|
Administratoren må styre utløpsdatoen for sertifikater og fornye sertifikatene før de utløper.
Administratoren må kontrollere at utstederen av sertifikatet er gyldig.
Installere et egetsignert sertifikat / sertifikat utstedt av en sertifiseringsmyndighet
Hvis du vil kryptere kommunikasjon med maskinen, installer du et enhetssertifikat.
To typer enhetssertifikater kan brukes: et egetsignert sertifikat opprettet av maskinen og et sertifikat utstedt av en sertifiseringsmyndighet. Når du trenger høyere pålitelighet, bruker du et sertifikat ustedt av en sertifiseringsmyndighet.
Installer et enhetssertifikat fra kontrollpanelet eller Web Image Monitor.
Du kan installere bare ett egetsignert sertifikat fra kontrollpanelet. Hvis du vil installere flere sertifikater eller et sertifikat utstedt av en sertifiseringsmyndighet, angir du innstillingene fra Web Image Monitor.
Installere et egetsignert sertifikat fra kontrollpanelet
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Innstillinger for administrator]
[Sikkerhet][Registrere/slette enhetssertifikat].
Velg [Sertifikatnummer 1] og trykk på [Registrer].
Spesifiser informasjonen som skal inkluderes i sertifikatet.
Felles navn: Skrive inn navnet på enhetssertifikatet som skal opprettes. Du må skrive inn et navn.
E-postadresse: Hvis du vil bruke et enhetssertifikat for S/MIME, PDF-digitalsignatur eller PDF/A-digitalsignatur, skriver du inn maskinadministratorens e-postadresse.
Angi Organisasjon, Organisasjonsenhet og andre elementer etter behov.
Trykk på [OK].
Trykk på [Avsl.].
Trykk på [Start]-skjermen (
), og logg deretter ut av maskinen.
Installere et egetsignert sertifikat / sertifikat utstedt av en sertifiseringsmyndighet fra Web Image Monitor
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [Enhetssertifikat] i kategorien [Sikkerhet].
På [Enhetssertifikat]-skjermen, installerer du et egetsignert sertifikat eller et sertifikat utstedt av en sertifiseringsmyndighet ved å følge anvisningene nedenfor:
Hvis du vil installere et egetsignert sertifikat
Opprett og installer et egetsignert sertifikat.
Velg nummeret fra listen for å opprette et egetsignert sertifikat.
Klikk på [Opprett] for å angi de nødvendige innstillingene.
Felles navn: Skrive inn navnet på enhetssertifikatet som skal opprettes. Du må skrive inn et navn.
E-postadresse: Hvis du vil bruke et enhetssertifikat for S/MIME, PDF-digitalsignatur eller PDF/A-digitalsignatur, skriver du inn maskinadministratorens e-postadresse.
Angi [Organisasjon], [Organisasjonsenhet] og andre elementer etter behov.
Klikk på [OK].
«Installert» vises i [Sertifikatstatus].
Slik installerer du et sertifikat utstedt av en sertifiseringsmyndighet
Be om et enhetssertifikat fra en sertifiseringsmyndighet og installer det. Følg de samme trinnene for å installere et mellomliggende sertifikat.
Velg nummeret fra listen for å opprette et enhetessertifikat.
Klikk på [Forespørsel] for å angi de nødvendige innstillingene.
Klikk på [OK].
«Forespør» vises for [Sertifikatstatus].
Søk om et enhetssertifikat hos sertifikatmyndigheten.
Du kan ikke søke til sertifiseringsmyndigheten fra Web Image Monitor. Søknadsprosedyren varierer avhengig av sertifiseringsmyndigheten. Kontakt sertifikatinstansen hvis du vil du ha mer informasjon.
Når det gjelder søknaden, klikker du på Detaljer-ikonet
og bruker informasjonen som vises i [Sertifikatdetaljer]-skjermen.Utstedelsessted vises kanskje ikke dersom du ber om flere sertifikater samtidig. Når du installerer et sertifikat, må du sørge for å kontrollere sertifikatets mål og installeringsfremgangsmåten.
Etter enhtetssertifikatet er utstedt av sertifiseringsmyndigheten, velger du nummeret for det utstedte sertifikatet fra listen på skjermen [Enhetssertifikat] og klikker deretter på [Installer].
Skriv inn innholdet i enhetssertifikatet i innskrivingsfeltene.
Hvis du vil installere det mellomliggende sertifikatet samtidig, skriver du også inn innholdet i det mellomliggende sertifikatet.
Hvis et mellomliggende sertifikat utstedt av en sertifiseringsmyndighet ikke er installert, vises en varselmelding under nettverkskommunikasjon. Når et mellomliggende sertifikat er utstedt av en sertifiseringsmyndighet, må du installere det mellomliggende sertifikatet.
Klikk på [OK].
«Installert» vises i [Sertifikatstatus].
Etter fullføring av installasjonen velger du sertifikatet for hver søknad på [Sertifisering].
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Hvis data skal skrives ut på maskinen med IPP-SSL, må brukeren installere et sertifikat på datamaskinen. Velg [Godkjente rotsertifikatmyndigheter] for sertifikatets lagringssted når du gå inn på maskinen via IPP.
Hvis du vil endre [Felles navn] for enhetssertifikatet når du bruker Windows standard IPP-port, sletter du på forhånd enhver tidligere konfigurert PC-skriver og installerer skriverdriveren på nytt. Og hvis du vil endre innstillingene for brukerautentisering (brukernavn og passord for innlogging), kan du først slette eventuelle tidligere konfigurerte PC-skrivere, endre brukerautentiseringsinnstillingene og deretter installere skriverdriveren på nytt.
Kryptere overføring med SSL/TLS
SSL (sikre sikkerhetslag) / TLS (transportlagssikkerhet) er en metode for å kryptere nettverkskommunikasjon. SSL/TLS forhindrer data fra å bli snappet opp, hacket eller tuklet med.
Flyten til SSL/TLS-kryptert kommunikasjon
Brukerens datamaskin krever SSL/TLS-enhetssertifikat og offentlig nøkkel når den skal inn på maskinen.
Enhetssertifikatet og offentlig nøkkel sendes fra maskinen til brukerens datamaskin.
Den delte nøkkelen som opprettes på datamaskinen, krypteres med den offentlige nøkkelen, sendes til maskinen og dekrypteres deretter med den private nøkkelen på maskinen.
Den delte nøkkelen brukes til kryptering og dekryptering av data. Dermed oppnås sikker sending.
Hvis du vil aktivere kryptert kommunikasjon, installerer du først et enhetssertifikat på maskinen.
Hvis du vil kryptere kommunikasjon med bruk av SSL/TLS, aktiverer du SSL/TLS som følger:
Du kontrollerer om SSL/TLS-konfigurering er aktivert eller ikke ved å angi https://(maskinens IP-adresse eller vertsnavn)/ i nettleserens adresselinje for å få tilgang til denne maskinen. Hvis meldingen "Siden kan ikke vises" dukker opp, må du kontrollere konfigurasjonen fordi nåværende SSL/TLS-konfigurasjon er ugyldig.
Dersom du aktiverer SSL/TLS for IPP (skriverfunksjoner), krypteres sendte data for å forhindre at de blir fanget opp, analysert eller manipulert.
Aktivere SSL/TLS
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [SSL/TLS] under kategorien [Sikkerhet].
Velg protokollen for å aktivere kryptert kommunikasjon på [SSL/TLS] for å angi nærmere informasjon om kommunikasjonsmetoden.
Tillat SSL/TLS-kommunikasjon: Velg en av krypteringskommunikasjonsmodusene nedenfor:
Kryptogram-prioritering: Utfører kryptert kommunikasjon når et enhetssertifikat er opprettet. Hvis kryptering ikke er mulig, kommuniserer maskinen data med klar tekst.
Kryptogram/klartekst: Utfører kryptert kommunikasjon når du kobler til maskinen med bruk av «https-adressen» fra en nettleser. Kommuniserer i klar tekst ved tilkobling til maskinen med en «http-adresse».
Kun kryptogram: Tillater bare kryptert kommunikasjon. Hvis kryptgering av en eller annen grunn ikke er mulig, kan ikke maskinen kommunisere. Hvis dette er tilfellet, trykk på [Systeminnstillinger]
[Nettverk/grensesnitt][Kommunikasjonssikkerhet][Tillat SSL/TLS-kommunikasjon] på betjeningspanelet, endre kommunikasjonsmodusen midlertidig til [Kryptogram/klartekst], og kontroller deretter innstillingene.
SSL/TLS-versjon: Angi TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0 for å aktivere eller deaktivere. Minst en av disse protokollene må være aktivert.
Innstilling for krypteringsstyrke: Angi krypteringsalgoritmen som skal anvendes som AES, 3DES og RC4. Du må velge minst én avmerkingsboks.
KEY EXCHANGE: Angi hvorvidt utskifting av RSA-nøkkel skal aktiveres eller deaktiveres.
DIGEST: Angi om SHA-1-OPPSUMMERING skal aktiveres eller deaktiveres.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Hvis du krypterer kommunikasjon med SMTP-serveren, bruker du følgende prosedyre for å endre [Bruk sikker tilkobling (SSL)] til [På].
Avhengig av tilstandene du angir for TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0, kan det hende at maskinen ikke kan koble til en ekstern LDAP-server.
Aktivere SSL for SMTP-tilkobling
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Send (e-post/mappe)][E-post][SMTP-server].
Fra listen ved siden av Bruk sikker tilkobling (SSL), velg [På].
Etter fullføring av konfigurasjonen endres portnummeret til 465 (SMTP over SSL). Når du bruker SMTP over TLS (STARTTLS) til kryptering, endrer du portnummeret til 587.
Når du angir portnummeret til et annet nummer enn 465 og 587, krypteres kommunikasjon i henhold til innstillingen i SMTP-serveren.
Trykk på [OK].
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Når SSL aktiveres i SMTP-serveren, sendes Internett-fakser alltid via SMTP-serveren.
Kryptere e-post sendt fra maskinen med S/MIME
S/MIME (sikre / flerformåls-Internett-e-postutvidelse) er en krypteringsmetode for å forbedre sikkerhet for e-postkommunikasjon. Ved å angi S/MIME kan du sende en kryptert e-post og vedlegge en kryptert fil eller elektronisk signatur.
Hvis du vil bruke S/MIME, må du først angi [Administrators e-postadresse] i [Systeminnstillinger].
Når du sender e-post til både brukere med e-postklienter som støtter S/MIME og brukere med klienter som ikke støtter det, blir bare e-post som sendes til klienter som støtter S/MIME, kryptert.
Mottakeren må bruke programvare som støtter S/MIME.
Du kan anvende enten e-postkryptering eller elektronisk signatur, aller anvende begge funksjoner sammen.
Når du sender en e-post vedlagt med en elektronisk signatur, trenger du ikke brukersertifikat. Installer et enhetssertifikat, og angi deretter den elektroniske signaturen som tilhører e-postadressen. For informasjon om installering av enhetssertifikat se avsnittet nedenfor:
Installere et egetsignert sertifikat / sertifikat utstedt av en sertifiseringsmyndighet
Ved bruk av S/MIME øker e-poststørrelsen fra det normale.
For informasjon om bruk av S/MIME med skannerfunksjonen, se avsnittet nedenfor:
Brukerveiledning (komplett versjon) på engelsk
For informasjon om bruk av S/MIME med faksfunksjonen se avsnittet nedenfor:
Brukerveiledning (komplett versjon) på engelsk
Registrere et brukersertifikat for brukeren som skal motta e-post
Hvis du sender en kryptert e-post, registrerer du først et brukersertifikat for brukeren som skal motta e-posten.
Klargjør brukersertifikatet på forhånd. Du kan registrere tre typer brukersertifikater på maskinen: «DER-kodet binær X.509», «Base 64-kodet X.509» og «PKCS #7-sertifikat».
Logg inn på maskinen som brukeradministrator fra Web Image Monitor.
Klikk på [Adressebok] på [Enhetsadministrasjon]-menyen.
Velg brukeren for å installere sertifikatet, og klikk deretter på [Endre] på [Detaljert registrering]-fanen.
I kategorien [E-post-] angir du de nødvendige innstillingene.
E-postadresse: Angi e-postadressen til brukeren.
Brukersertifikat: Klikk på [Endre] og angi brukersertifikatet som skal brukes.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Bruk følgende prosedyre for å angi detaljene for kryptering som skal aktiveres.
Når du installerer et brukersertifikat i adresseboken ved hjelp av Web Image Monitor, kan det hende du ser en feilmelding hvis sertifikatfilen inneholder mer enn ett sertifikat. Hvis dette er tilfellet, installer sertifikatene ett av gangen.
Når gyldighetsperioden for det valgte brukersertifikatet utløper, er det ikke lenger mulig å sende krypterte meldinger. Velg et sertifikat som er innenfor gyldighetsperioden.
Konfigurere krypteringsalgoritmen og vedlegg av en elektronisk signatur
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [S/MIME] i kategorien [Sikkerhet].
Konfigurer e-postkryptering og elektronisk signatur.
Kryptering
Krypteringsalgoritme: Velg krypteringsalgoritmen for den delte nøkkelen som brukes til å kryptere e-post med S/MIME. Velg krypteringsalgoritmen som støttes av brukerens e-postprogramvare.
Signatur
Sertifikatstatus: Sertifikatet angitt for S/MIME vises.
Digest-algoritme: Velg oppsummeringsalgoritmen til bruk for elektronisk signatur.
Når e-post sendes via skanner, Ved overføring via faks, Når e-post sendes via faks, Ved sending av e-post for overføringsresultater via faks, Når filer lagret i dokumentserver (verktøy) overføres: Angi om du skal velge metoden for å legge ved elektronisk signatur i hver funksjon når du sender eller overfører e-post eller dokumenter.
Funksjonsmodus
Funksjonsmodus: Velg på hvilket tidspunkt gyldighetsperioden til et sertifikat skal kontrolleres.
Ytelsesprioritet: Gyldighetsperioden til et brukersertifikat kontrolleres når du velger adressen. Gyldighetsperioden til et enhetssertifikat kontrolleres når du trykker på [Start]. Det møter ikke kravene i de internasjonale evalueringsforskriftene for informasjonssikkerhet (karbonkopi-autentisering), men svarer brukeren raskere enn når du velger [Sikkerhetsprioritet].
Sikkerhetsprioritet: Gyldighetsperioden kontrolleres når du velger adressen og når du trykker på [Start]. Det tar litt tid å svare brukeren og utføre prosedyren korrekt på en måte som samsvarer med kravene i de internasjonale evalueringsforskriftene for informasjonssikkerhet (karbonkopi-autentisering).
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Når du legger ved en elektronisk signatur i en e-post, brukes e-postadressen til administratoren i [From], og e-postadressen til brukeren valgt som «Sender» brukes i [Reply-To].
Hvis et sertifikat var gyldig ved sending, men har utløpt før e-posten blir hentet fra e-postserveren til klientdatamaskinen, kan det hende at e-posten ikke kan hentes.
Hvis det oppstår en feil utenfor gyldighetsperioden for sertifikatet når en e-post sendes automatisk ved bruk av minneoverføring, eller på et angitt tidspunkt, blir feilen rapportert med en e-post i klar tekst til e-postadressen til senderen eller administratoren. Når jobbloggsamlingsfunksjonen er aktivert, kan du vise feildetaljer i jobbloggen.
«Samle logger», brukerveiledning på engelsk (full versjon).
Hvis det valgte enhetssertifikatet utløper, er det ikke mulig å legge til signaturer i PDF-filer. Velg et sertifikat som er innenfor gyldighetsperioden.
Signaturalgoritmen for enhetssertifikatets digitale signatur, som kan knyttes til PDF/A-filer, er "sha1WithRSA-1024".
Krypteringsdata kommunisert med maskinadministrasjonsprogramvare via SNMPv3
Når overvåkingsenheter bruker Device Manager NX via et nettverk, kan du kryptere de overførte dataene med SNMPv3-protokollen.
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Nettverk/grensesnitt][Tillat SNMPv3-kommunikasjon].
Fra listen ved siden av Tillat SNMPv3-kommunikasjon, velg [Kun kryptering].
Trykk på [OK].
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Hvis du vil endre innstillingene angitt på maskinen fra Device Manager NX, angir du et krypteringspassord for nettverksadministratoren i [Programmere / endre administrator], og registrerer deretter krypteringspassordet i SNMP-kontoen til Device Manager NX.
Hvis nettverksadministratorens [Krypteringspassord]-innstilling ikke er angitt, kan det hende at data for overføring ikke krypteres eller sendes. For informasjon om hvordan du angir innstillingen for nettverksadministratorens krypteringspassord, se avsnittet nedenfor:
Kryptering av innloggingspassord for utskriftsjobber
Du kan kryptere innloggingspassord for skriverdriveren og passordet for IPP-utskrift for å bedre sikkerheten mot hacking av passordet.
Hvis du skal foreta utskrift fra en LAN på kontoret, angir du førerkrypteringsnøkkelen.
Hvis du foretar IPP-utskrift fra et eksternt netverk, krypterer du passordet for IPP-utskrift.
Angi en driverkrypteringsnøkkel for å kryptere passord
Angi den angitte driverkrypteringsnøkkelen på maskinen også til skriverdriveren for å kryptere og dekryptere passord.
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Innstillinger for administrator][Sikkerhet][Innstillinger for utvidet sikkerhet].
Trykk på [Endre] ved siden av Driverkrypteringsnøkkel.
Skriv inn passordet som skal brukes som driverkrypteringsnøkkel, og trykk deretter på [Done].
Skriv inn passordet for Bekreft passord på nytt, og trykk deretter på [Done].
Trykk på [OK] to ganger.
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Nettverksadministrator må gi brukerne driverkrypteringsnøkkelen som er angitt på maskinen slik at de kan registrere den på sine maskiner.
Sørg for å legge inn den samme driverkrypteringsnøkkelen som den som er angitt på maskinen.
Når du bruker en PCL 6-skriverdriver, kan du skrive inn driverkrypteringsnøkkelen i [Skriveregenskaper]
[Avanserte alternativer]-fanen.
Du kan også kryptere selve utskriftsjobben. Se avsnittet nedenfor hvis du vil ha mer informasjon.
Brukerveiledning (komplett versjon) på engelsk
Hvis du vil ha mer informasjon om hvordan du angir krypteringsnøkkelen på skriverdriveren eller TWAIN-driveren, se driverhjelp
Hvis du vil ha mer informasjon om hvordan du angir krypteringsnøkkelen på LAN-faksdriveren, se hjelp for LAN-faksdriver.
Kryptere passordet for IPP-utskrift
Når du skriver ut med IPP-protokollen, angir du autentiseringsmetoden til [DIGEST] for å kryptere IPP-autentiseringspassord. Registrer brukernavnet og passordet for IPP-autentisering separat fra brukerinformasjonen i adresseboken.
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [IPP-autentisering] i kategorien [Sikkerhet].
Velg [DIGEST] i [Autentisering].
Skriv inn Brukernavn og Passord.
Hvis du vil bruke brukerautentiseringsinformasjonen som er spesifisert på maskinen i stedet for brukernavn og passord, sett «Bruk hovedenhetens autentifiseringsfunksjon» til [På]. Du kan bruke denne funksjonen på maskinene som er installert med RICOH Always Current Technology v1.2 eller senere.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Kryptering av kommunikasjon mellom KDC og maskinen
Du kan kryptere kommunikasjon mellom maskinen og nøkkeldistribusjonssenter-serveren (KDC) når du bruker Kerberos-autentisering med Windows- eller LDAP-autentisering for å sikre kommunikasjonen.
Den støttede krypteringsalgoritmen varierer avhengig av typen KDC-server.
Logg inn på maskinen som maskinadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [Kerberos-autentisering] under kategorien [Enhetsinnstillinger].
Velg krypteringsalgoritmen som skal aktiveres.
Kun Heimdal støtter DES3-CBC-SHA1.
Hvis du vil bruke DES-CBC-MD5 i Windows Server 2008 R2 eller senere, aktiverer du den i operativsysteminnstillingene.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.