Kryptera nätverkskommunikationen
För att skydda den kommunicerade informationen är det nödvändigt att kryptera kommunikationen mellan datorer och extern utrustning.
Data som skickas från och till maskinen kan avlyssnas, knäckas eller manipuleras under överföringen. Följande data kan exempelvis skickas mellan maskinen och externa enheter eller datorn:
Dokument som skrivs ut med hjälp av skrivardrivrutinen
Dokument som skannas och skickas via e-post för att använda under ett möte
Användarnamn och lösenord
Se tabellen nedan för metoder för att kryptera data.
Data att kryptera | Krypteringsmetod | Process/referens |
|---|---|---|
Web Image Monitor IPP-utskrift Windows-autentisering LDAP-autentisering E-postöverföring | SSL/TLS | Installera ett enhetscertifikat.
|
E-post | S/MIME | Installera ett användarcertifikat.
|
Maskinhanteringsdata | SNMPv3 | Ange ett krypteringslösenord.
|
Autentiseringsinformation för utskriftsjobb | Krypteringskod för drivrutin IPP-autentisering | Ange en krypteringskod för drivrutin Ange IPP-autentisering.
|
Data för Kerberos-autentisering | Varierar beroende på KDC-server | Välj en krypteringsmetod.
|
Administratören måste hantera utgången av certifikat och förnya certifikat innan de löper ut.
Administratören måste kontrollera certifikatutfärdarens giltighet.
Installera ett självsignerat certifikat/Certifikat som utfärdats av en certifikatutfärdare
Installera ett enhetscertifikat för att kryptera kommunikationen med maskinen.
Två typer av enhetscertifikat kan användas: ett självsignerat certifikat som skapats av maskinen och ett certifikat som utfärdats av en certifikatutfärdare. Använd ett certifikat utfärdat av en certifikatutfärdare när du behöver högre trovärdighet.
Installera ett enhetscertifikat från kontrollpanelen eller Web Image Monitor.
Du kan endast installera ett självsignerat certifikat från kontrollpanelen. För att installera flera certifikat eller ett certifikat utfärdat av en certifikatutfärdare, anger du inställningar i Web Image Monitor.
Installera ett självsignerat certifikat från kontrollpanelen
Logga in på maskinens kontrollpanel som nätverksadministratör
Tryck på [Inställningar] på Startskärmen.
Tryck på [Systeminställningar] på skärmen Inställningar.
Tryck på [Administratörsinställningar]
[Säkerhet][Registrera/Ta bort enhetscertifikat].
Välj [Certifikat-nr. 1] och tryck på [Registrera].
Ange informationen som ska inkluderas i certifikatet.
Allmännamn: Ange namnet på det enhetscertifikat som ska skapas. Du måste ange ett namn.
E-postadress: För att använda enhetscertifikatet för S/MIME, PDF Digital Signature, eller PDF/A Digital Signature, anger du maskinadministratörens e-postadress.
Ange Organisation, Sektion/avdelning och andra poster efter behov.
Tryck på [OK].
Tryck på [Avsluta].
Tryck på [Start] (
) och logga sedan ut från maskinen.
Installera ett självsignerat certifikat/certifikat utfärdat av en certifikatutfärdare från Web Image Monitor
Logga in på maskinen som nätverksadministratör från Web Image Monitor.
Klicka på [Konfiguration] i menyn [Enhetshantering].
Klicka på [Enhetscertifikat] i kategorin [Säkerhet].
På skärmen [Enhetscertifikat] installerar du ett självsignerat certifikat eller ett certifikat som utfärdats av en certifikatutfärdare genom att följa anvisningarna nedan:
Installera ett självsignerat certifikat
Skapa och installera ett självsignerat certifikat.
Välj numret från listan för att skapa ett självsignerat certifikat.
Klicka på [Skapa] för att ange de inställningar som krävs.
Allmännamn: Ange namnet på det enhetscertifikat som ska skapas. Du måste ange ett namn.
E-postadress: För att använda enhetscertifikatet för S/MIME, PDF Digital Signature, eller PDF/A Digital Signature, anger du maskinadministratörens e-postadress.
Ange [Organisation], [Sektion/avdelning] och andra poster efter behov.
Klicka på [OK].
"Installerad" visas i [Certifikatsstatus].
Installera ett certifikat utfärdat av en certifikatutfärdare
Begär ett enhetscertifikat från en certifikatutfärdare och installera det. Följ samma steg för att installera ett tillfälligt certifikat.
Välj numret från listan för att skapa ett enhetscertifikat.
Klicka på [Ansökan] för att ange de inställningar som krävs.
Klicka på [OK].
"Ansöker" visas i [Certifikatsstatus].
Ansök om enhetscertifikat hos certifikatutfärdaren.
Du kan inte ansöka hos certifikatutfärdaren från Web Image Monitor. Ansökningsprocessen varierar beroende på certifikatutfärdaren. Kontakta utfärdaren för mer information.
För applikationen klickar du på ikonen för Information
och använder informationen som visas på skärmen [Certifikatinformation].Utfärdandeplatsen kanske inte visas om du ansöker om flera certifikat samtidigt. När du installerar ett certifikat, se till att kontrollera certifikatets mottagare och installationsprocess.
När enhetscertifikatet har utfärdats av certifikatutfärdaren, väljer du numret på det utfärdade certifikatet i listan på skärmen [Enhetscertifikat] och klickar sedan på [Installera].
Ange innehållet för enhetscertifikatet i inmatningsfälten.
För att installera det tillfälliga certifikatet samtidigt, anger du även innehållet för det tillfälliga certifikatet.
Om ett tillfälligt certifikat som utfärdats av en certifikatutfärdare inte installeras, kommer ett varningsmeddelande att visas vid nätverkskommunikation. När ett tillfälligt certifikat har utfärdats av en certifikatutfärdare, måste du installera det tillfälliga certifikatet.
Klicka på [OK].
"Installerad" visas i [Certifikatsstatus].
När installationen har slutförts, väljer du certifikat för respektive applikation under [Certifiering].
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.
För att skriva ut data i maskinen med hjälp av IPP-SSL, måste användaren installera ett certifikat på datorn. Välj [Betrodda rotcertifikatutfärdare] för lagringsplats för certifikatet vid åtkomst till maskinen via IPP.
För att ändra [Namn] på enhetens certifikat vid användning av Windows standard IPP-port, raderar du alla eventuella tidigare konfigurerade PC-skrivare och installerar sedan skrivardrivrutinen igen. För att även ändra inställningar för användarautentisering (användarnamn och lösenord), ta först bort den tidigare konfigurerade PC-skrivaren och installera den igen när autentiseringsinställningarna har ändrats.
Kryptera överföringar med hjälp av SSL/TLS
SSL (Secure Sockets Layer)/TLS(Transport Layer Security) är en metod för att kryptera nätverkskommunikation. SSL/TLS förhindrar data från att bli avlyssnad, knäckt eller manipulerad.
Flödesbild för krypterad SSL-/TLS-kommunikation
Användarens dator begär enhetscertifikatet för SSL/TLS och den publika nyckeln vid åtkomst till maskinen.
Enhetens certifikat och publik nyckel skickas från maskinen till användarens dator.
Den delade nyckel som skapats med datorn krypteras med den publika nyckeln, skickas till maskinen och avkrypteras med den privata nyckeln i maskinen.
Den delade nyckeln används för kryptering och dekryptering av data och därigenom uppnås säker överföring.
Installera ett enhetscertifikat i maskinen i förväg för att aktivera krypterad kommunikation.
För att kryptera kommunikationen med hjälp av SSL/TLS, aktivera SSL/TLS enligt följande:
Du kontrollerar att SSL/TLS-konfigurationen är aktiverad genom att ange "https://(maskinens IP-adress eller värdnamn)/" i adressfältet på din webbläsare för att få åtkomst till den här maskinen. Om meddelandet "Sidan kan inte visas" kommer upp är den aktuella SSL/TLS-konfigurationen ogiltig. Kontrollera konfigurationen.
Om du aktiverar SSL/TLS för IPP (skrivarfunktioner) krypteras skickade data, vilket förhindrar att de fångas upp, analyseras eller manipuleras.
Aktivera SSL/TLS
Logga in på maskinen som nätverksadministratör från Web Image Monitor.
Klicka på [Konfiguration] i menyn [Enhetshantering].
Klicka på [SSL/TLS] i kategorin [Säkerhet].
Välj protokollet för att aktivera krypterad kommunikation med [SSL/TLS] och ange informationen om kommunikationsmetoden.
Tillåt kommunikation via SSL/TLS:Välj ett av de krypterade kommunikationslägena nedan:
Chiffertextprioritet: Utför krypterad kommunikation när ett enhetscertifikat har skapats. Om kryptering inte är möjlig, kommunicerar maskinen i klartext.
Chiffertext/Okrypterad text: Använder krypterad kommunikation vid anslutning till en maskin som använder en "https"-adress från en webbläsare. Kommunicerar i klartext vid anslutning till maskinen med hjälp av en "http"-adress.
Endast chiffertext: Tillåter endast krypterad kommunikation. Om kryptering inte är möjlig av någon anledning, kan inte maskinen kommunicera. Om så är fallet trycker du på [Systeminställningar]
[Nätverk/Gränssnitt][Kommunikationssäkerhet][Tillåt SSL/TLS-kommunikation] på kontrollpanelen, ändra kommunikationsmetod till [Chiffertext/Okrypterad text] tillfälligt och kontrollera sedan inställningarna.
SSL/TLS-version: Ange TLS 1.2, TLS 1.1, TLS 1.0 och SSL 3.0 för att aktivera eller inaktivera. Minst ett av dessa protokoll måste vara aktiverat.
Inställning för krypteringsgrad: Anger den krypteringsalgoritm som ska tillämpas för AES, 3DES, and RC4. Du måste välja minst en kryssruta.
KEY EXCHANGE: Ange om utbyte av RSA-nyckel ska aktiveras eller avaktiveras.
DIGEST: Ange om SHA-1 DIGEST ska aktiveras eller inaktiveras.
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.
För att kryptera kommunikationen med SMTP-servern gör du så här för att ändra [Använd säker anslutning (SSL)] till [På].
Beroende på de tillstånd du anger för TLS 1.2, TLS 1.1, TLS 1.0 och SSL 3.0 kanske det inte går att ansluta till en extern LDAP-server.
Aktivera SSL för SMTP-anslutningar
Logga in på maskinens kontrollpanel som nätverksadministratör
Tryck på [Inställningar] på Startskärmen.
Tryck på [Systeminställningar] på skärmen Inställningar.
Tryck på [Skicka (E-post/mapp)][E-post][SMTP-server].
I listan bredvid Använd säker anslutning (SSL) väljer du [På].
När du har slutfört konfigurationen, ändras portnumret till 465 (SMTP over SSL). När SMTP over TLS (STARTTLS) används för kryptering, ändra portnumret till 587.
När du anger portnumret till något annat än 465 eller 587 krypteras kommunikationen i enlighet med inställningarna på SMTP-servern.
Tryck på [OK].
Tryck på [Start] () och logga sedan ut från maskinen.
När SSL är aktiverat på SMTP-servern skickas alltid internet-fax via SMTP-servern.
Kryptera e-post som skickas från maskinen via S/MIME
S/MIME (Secure/Multipurpose Internet Mail Extensions) är en krypteringsmetod för att förbättra säkerheten i e-postkommunikation. Genom att ange S/MIME, kan du skicka ett krypterat e-postmeddelande och bifoga en krypterad fil eller elektronisk signatur.
Om du vill använda S/MIME måste du först ange [E-postadress för administratör] i [Systeminställningar].
När du skickar e-post till både användare vars e-postklienter stöder S/MIME och användare vars klienter inte stöder det, är bara de e-postmeddelanden krypterade, som skickas till klienter med stöd för S/MIME.
Mottagaren måste använda program som stödjer S/MIME.
Du kan använda antingen en e-postkryptering eller elektronisk signatur, eller använda båda funktionerna samtidigt.
När du skickar ett e-postmeddelande med en bifogad elektronisk signatur, behöver du inte använda användarcertifikatet. Installera enhetscertifikat och ange sedan den elektroniska signaturen som bifogas e-postmeddelandet. Mer information om hur du installerar enhetscertifikat finns i avsnittet nedan:
Installera ett självsignerat certifikat/Certifikat som utfärdats av en certifikatutfärdare
När man använder S/MIME, är storleken på e-posten större än normalt.
Information om användning av S/MIME med skannerfunktionen finns i avsnittet nedan:
"Applying Security Settings to an E-mail When Sending a Scanned Document", användarguide (fullständig version) på engelska
Information om användning av S/MIME med faxfunktionen finns i avsnittet nedan:
"Applying Encryption and Using a Signature for Enhanced Security When Sending an Internet Fax", användarguide (fullständig version) på engelska
Registrera ett användarcertifikat för den användare som ska ta emot e-post
För att skicka ett krypterat e-postmeddelande måste du först registrera ett användarcertifikat för den användare som ska ta emot e-postmeddelandet.
Förbered användarcertifikaten i förväg. Du kan registrear tre typer av användarcertifikat på maskinen: "DER Encoded Binary X.509", "Base 64 Encoded X.509", och "PKCS #7 certificate".
Logga in på maskinen som användaradministratör från Web Image Monitor.
Klicka på [Adressbok] i menyn [Enhetshantering].
Välj den användare som ska installera certifikatet och klicka sedan på [Ändra] på fliken [Detaljerad inmatning].
I kategorin [E-post] anger du nödvändiga inställningar.
E-postadress: Ange användarens e-postadress.
Användarcertifikat: Klicka på [Ändra] och ange det användarcertifikat som ska användas.
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.
Använd följande tillvägagångssätt för att ange information om den kryptering som ska aktiveras.
Vid installation av ett användarcertifikat i adressboken via Web Image Monitor, kan ett felmeddelande visas om certifikatfilen innehåller fler än ett certifikat. Installera certifikaten ett i taget om detta inträffar.
När användarcertifikatet har gått ut kan krypterade meddelanden inte längre skickas. Välj ett certifikat som fortfarande är giltigt.
Konfigurera krypteringsalgoritmen och bilaga för elektronisk signatur
Logga in på maskinen som nätverksadministratör från Web Image Monitor.
Klicka på [Konfiguration] i menyn [Enhetshantering].
Klicka på [S/MIME] i kategorin [Säkerhet].
Konfigurera e-postkryptering och elektronisk signatur.
Kryptering
Krypteringsalgoritm: Välj krypteringsalgoritm för den delade nyckeln som används för kryptering av e-postmeddelanden med S/MIME. Välj den krypteringsalgoritm som stöds av användarens program för e-post.
Signatur
Certifikatsstatus: Det certifikat som anges för S/MIME visas.
Digest-algoritm: Välj den digest-algoritm som används för den elektroniska signaturen.
När e-post skickas via skanner, När överföring sker via fax, När e-post skickas via fax, När överföringsresultat e-postas via fax, När överförda filer lagras i Dokumentservern (Utility): Ange om du vill välja en metod för att bifoga en elektronisk signatur för respektive funktion vid sändning eller mottagning av e-post eller dokument.
Driftläge
Driftläge: Välj det tidsintervall som giltighetsperioden för ett certifikat kontrolleras.
Prestandaprioritet: Giltighetsperioden för ett användarcertifikat kontrolleras när du väljer adressen. Giltighetsperioden för ett enhetscertifikat kontrolleras när du trycker på [Start]. Den uppfyller inte de internationella utvärderingsreglerna för informationssäkerhet (CC-autentisering), men den svarar användaren snabbare än när [Säkerhetsprioritet] är vald.
Säkerhetsprioritet: Giltighetsperioden kontrolleras när du väljer adressen och när du trycker på [Start]. Det tar lite tid att svara användaren och hantera det korrekt enligt villkoren för att uppfylla de internationella utvärderingsreglerna för informationssäkerhet (CC-autentisering).
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.
När du bifogar en elektronisk signatur till ett e-postmeddelande, används administratörens e-postadress i fältet [Från] och e-postadressen för den användare som valts som "Avsändare" används i fältet [Svar till].
Om ett certifikat var giltigt när det överfördes men har gått ut innan e-postmeddelandet hämtas från e-postservern till klientdatorn, så är det möjligt att e-postmeddelandet inte hämtas.
Om ett fel inträffar utanför giltighetsperioden för certifikatet när ett e-postmeddelande med S/MIME skickas automatiskt via Minnesöverföring eller vid en specifik tidpunkt, kommer felet att rapporteras via e-post i klartext till e-postavsändaren eller administratören. När funktionen "Insamling av jobbloggar" är aktiverad, kan du visa felinformationen i jobbloggen.
User Guide (Full Version) på engelska
Om det valda enhetescertifikatet löper ut kan signaturer inte bifogas till PDF-filer. Välj ett certifikat som fortfarande är giltigt.
Signaturalgoritmen för enhetscertifikatets digitala signatur som kan bifogas till PDF/A-filer är "sha1WithRSA-1024".
Kryptera data som kommuniceras med Machine Management Software via SNMPv3
När enheter övervakas med hjälp av Device Manager NX via ett nätverk, kan du kryptera överförd data med protokollet SNMPv3.
Logga in på maskinens kontrollpanel som nätverksadministratör
Tryck på [Inställningar] på Startskärmen.
Tryck på [Systeminställningar] på skärmen Inställningar.
Tryck på [Nätverk/Gränssnitt][Tillåt SNMPv3-kommunikation].
I listan bredvid Tillåt SNMPv3-kommunikation väljer du [Endast kryptering].
Tryck på [OK].
Tryck på [Start] () och logga sedan ut från maskinen.
För att ändra de inställningar som angivits i maskinen från Device Manager NX, anger du ett krypteringslösenord för nätverksadministratören i [Programmera/Ändra administratör] och registrerar sedan krypteringslösenordet i SNMP-kontot för Device Manager NX.
Om inställningen för nätverksadministratörens [Krypteringslösen] inte har angivits blir kanske de uppgifter som ska överföras inte krypterade eller skickade. Information om hur du anger nätverksadministratörens krypteringslösenord finns i avsnittet nedan.
Kryptering av lösenord för utskriftsjobb
Du kan kryptera inloggningslösenordet för skrivardrivrutinen och lösenordet för IPP-utskrifter för att öka säkerheten mot att lösenord knäcks.
För att skriva ut från ett lokalt nätverk på kontoret, anger du drivrutinens krypteringsnyckel.
För att skriva ut med IPP-utskrifter från ett externt nätverk, krypterar du lösenordet för IPP-utskrifter.
Ange en krypteringsnyckel för drivrutinen för att kryptera lösenorden.
Ange den krypteringsnyckel för drivrutinen som angetts i maskinen även för skrivardrivrutinen för att kryptera och dekryptera lösenorden.
Logga in på maskinens kontrollpanel som nätverksadministratör
Tryck på [Inställningar] på Startskärmen.
Tryck på [Systeminställningar] på skärmen Inställningar.
Tryck på [Administratörsinställningar][Säkerhet][Utökade säkerhetsinställningar].
Tryck på [Ändra] bredvid Krypteringskod för drivrutin.
Ange lösenordet som ska användas som kryperingsnyckel för drivrutinen och tryck sedan på [Klart].
Ange lösenordet för Bekräfta lösenord igen och tryck sedan på [Done].
Tryck på [OK] två gånger.
Tryck på [Start] () och logga sedan ut från maskinen.
Nätverksadministratören måste dela ut krypteringskoden till den drivrutin som angetts på maskinen till användarna, så att de kan registrera den på sina datorer.
Var noga med att skriva in samma krypteringsnyckel som den som angetts för maskinen.
Vid användning av en PCL6-skrivardrivrutin kan du ange krypteringsnyckeln för drivrutinen i [Skrivaregenskaper]
under fliken [Avancerade alternativ].
Du kan också kryptera själva utskriftsjobbet. Se avsnittet nedan för mer information.
"Storing Documents to Print in the Machine", User Guide (Full Version) på engelska
För information om hur du anger krypteringsnyckeln för skrivardrivrutinen eller TWAIN-drivrutinen, se drivrutinens Hjälp.
För mer information om hur du anger krypteringskoden på LAN-Fax-drivrutinen, se Hjälp-avsnittet för LAN-Fax-drivrutinen.
Kryptera lösenordet för IPP-utskrifter
Vid utskrift med hjälp av IPP-protokollet, anger du autentiseringsmetoden till [DIGEST] för att kryptera lösenordet för IPP-autentisering. Registrera användarnamn och lösenord för IPP-autentisering separerat från användarinformationen i adressboken.
Logga in på maskinen som nätverksadministratör från Web Image Monitor.
Klicka på [Konfiguration] i menyn [Enhetshantering].
Klicka på [IPP-autentisering] i kategorin [Säkerhet].
Välj [DIGEST] under [Autentisering].
Ange Användarnamn och Lösenord.
Om du vill använda den information om användarautentisering som anges på maskinen istället för användarnamn och lösenord, klicka på [På] för "Funktion för användarautentisering på huvudenhet". Du kan använda den här funktionen i de maskiner som är installerade med RICOH Always Current Technology v1.2 eller senare.
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.
Kryptering av kommunikation mellan KDC och maskinen
Du kan kryptera kommunikationen mellan maskinen och Key Distribution Center-servern (KDC) vid användning av Kerberos-autentisering med Windows- eller LDAP-autentisering för att säkra kommunikationen.
Den krypteringsalgoritm som stöds varierar beroende på typ av KDC-server.
Logga in på maskinen som maskinadministratör från Web Image Monitor.
Klicka på [Konfiguration] i menyn [Enhetshantering].
Klicka på [Kerberos-autentisering] i kategorin [Enhetsinställningar].
Välj krypteringsalgoritmen för att aktivera.
Det är endast Heimdal som stödjer DES3-CBC-SHA1.
För att använda DES-CBC-MD5 i Windows Server 2008 R2 eller senare, aktiverar du det i operativsystemets inställningar.
Klicka på [OK].
Logga ut från maskinen och stäng sedan webbläsaren.