Kryptering af netværkskommunikation
For at beskytte kommunikerede oplysninger er det nødvendigt at kryptere kommunikation mellem computere og eksternt udstyr.
Data sendt fra og modtaget af maskinen kan opsnappes, brydes eller forfalskes under transmission. Følgende data kan f.eks. overføres mellem maskinen og eksterne enheder eller computeren:
Dokumenter udskrevet i virksomheden ved hjælp af printerdriveren
Logonbrugernavn og logonpassword
Se tabellen nedenfor vedrørende metoderne til kryptering af data.
Data til kryptering |
Krypteringsmetode |
Process/reference |
---|---|---|
Web Image Monitor IPP-print Windows-godkendelse LDAP-godkendelse |
SSL/TLS |
Installer et enhedscertifikat.
|
Maskinadministrationsdata |
SNMPv3 |
Angiv et krypteringspassword.
|
Godkendelsesoplysninger for printjob |
Driverkrypteringsnøgle IPP-godkendelse |
Specificer en Driverkrypteringsnøgle Angiv IPP-godkendelse.
|
Kerberos-godkendelsesdata |
Varierer afhængigt af KDC-serveren |
Vælg en krypteringsmetode.
|
Administratoren skal administrere gyldighedsperioden for certifikater og forny dem, inden de udløber.
Administratoren skal kontrollere, at udstederen af certifikatet er godkendt.
For at kryptere kommunikation med maskinen skal du installere et enhedscertifikat.
Der kan bruges to typer enhedscertifikater: et selvsigneret certifikat oprettet af maskinen og et certifikat udstedt af en certifikatmyndighed. Når du har behov for større pålidelighed, skal du bruge et certifikat udstedt af en certifikatmyndighed.
Log ind på maskinen som netværksadministrator fra Web Image Monitor.
Log på maskinen som administratorKlik på [Konfiguration] på [Enhedshåndtering]-menuen.
Klik på [Enhedscertifikat] under kategorien "Sikkerhed".
På skærmen "Enhedscertifikat" skal du installere et selvsigneret certifikat eller et certifikat udstedt af en certifikatmyndighed ved at følge anvisningerne herunder:
Sådan installeres et selvsigneret certifikat
Opret og installer et selvsigneret certifikat.
Vælg nummeret på listen for at oprette et selvsigneret certifikat.
Klik på [Opret] for at angive de nødvendige indstillinger.
Almindeligt navn: Angiv navnet på det enhedscertifikat, der skal oprettes. Du skal indtaste et navn.
Angiv "Virksomhed", "Organisationsenhed" og andre punkter efter behov.Klik på [OK].
En meddelelse vises, mens indstillingerne udføres. Det kan være nødvendigt at du venter et kort stykke tid, før du fortsætter til næste trin.Klik på [OK].
"Installeret" vises i [Certifikatstatus].
Sådan installeres et certifikat udstedt af en certifikatmyndighed
Anmod om et enhedscertifikat fra en certifikatmyndighed, og installer det. Følg de samme trin for at installere et mellemliggende certifikat.
Vælg nummeret på listen for at oprette et enhedscertifikat.
Klik på [Anmodning] for at angive de nødvendige indstillinger.
Klik på [OK].
En meddelelse vises, mens indstillingerne udføres. Det kan være nødvendigt at du venter et kort stykke tid, før du fortsætter til næste trin.Klik på [OK].
"Anmoder" vises i "Certifikatstatus".Ansøg om et enhedscertifikat hos nøglecenteret.
Du kan ikke ansøge certifikatmyndigheden fra Web Image Monitor. Ansøgningsproceduren varierer afhængigt af certifikatmyndigheden. Kontakt udstederen for yderligere oplysninger.
I forbindelse med ansøgningen skal du klikke på ikonet Detaljerog bruge de oplysninger, der vises på skærmen "Certifikatdetaljer".
Udstederen vises muligvis ikke, hvis du anmoder om flere certifikater på én gang. Når du installerer et certifikat, skal du kontrollere certifikatdestinationen og installationsproceduren.Når enhedscertifikatet er blevet udstedt af certifikatmyndigheden, skal du vælge nummeret for det udstedte certifikat fra listen på skærmen "Enhedscertifikat" og derefter klikke på [Installér].
Indtast indholdet af enhedscertifikatet i indtastningsfelterne.
For at installere det mellemliggende certifikat på samme tid skal du også indtaste indholdet af det mellemliggende certifikat.
Hvis der ikke er installeret et mellemliggende certifikat udstedt af en certifikatmyndighed, vises en advarselsmeddelelse under netværkskommunikation. Når der er udstedt et mellemliggende certifikat af en certifikatmyndighed, skal du installere det mellemliggende certifikat.Klik på [OK].
"Installeret" vises i "Certifikatstatus".
Når installationen er fuldført, skal du vælge certifikatet for hvert program på "Certificering".
Klik på [OK].
En meddelelse vises, mens indstillingerne udføres. Det kan være nødvendigt at du venter et kort stykke tid, før du fortsætter til næste trin.Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
For at udskrive data i maskinen ved hjælp af IPP-SSL skal brugeren installere et certifikat i computeren. Vælg [Rodnøglecentre, der er tillid til] som lagringssted for certifikatet, når der opnås adgang til maskinen via IPP.
For at ændre [Almindeligt navn] for enhedscertifikatet ved brug af Windows IPP-standardporten skal du slette alle tidligere konfigurerede pc-printere på forhånd og installere printerdriveren igen. Hvis du vil ændre indstillingerne for brugergodkendelse (logonbrugernavn og -password), skal du også slette en eventuelt tidligere konfigureret pc-printer først, ændre indstillingerne for brugergodkendelse og derefter installere printerdriveren igen.
På Web Image Monitor kan du også uploade oprettede enhedscertifikater. Enhedscertifikater i følgende filformater er understøttet. For yderligere oplysninger om upload, se Web Image Monitor Hjælp.
- PKCS#12
- PEM
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) er en metode til kryptering af netværkskommunikation. SSL/TLS forhindrer, at data bliver opsnappet, brudt eller forfalsket.
Flow af krypteret SSL/TLS-kommunikation
Brugerens computer anmoder om SSL/TLS-enhedscertifikatet og en offentlig nøgle, når der forsøges at opnå adgang til maskinen.
Enhedscertifikatet og en offentlig nøgle sendes fra maskinen til brugerens computer.
Den delte nøgle, som blev oprettet på computeren, krypteres med den offentlig nøgle, sendes til maskinen og dekrypteres derefter ved brug af den private nøgle i maskinen.
Den delte nøgle bruges til kryptering og dekryptering af data for at opnå sikre overførsler.
Installer et enhedscertifikat i maskinen på forhånd for at aktivere krypteret kommunikation.
For at kryptere kommunikation ved hjælp af SSL/TLS skal du aktivere SSL/TLS på følgende måde:
For at kontrollere, om SSL/TLS-konfiguration er aktiveret, skal du indtaste "https://(maskinens IP-adresse eller værtsnavn)/" i webbrowserens adressefelt for at få adgang til denne maskine. Hvis meddelelsen "Siden kan ikke vises" kommer frem, skal du kontrollere konfigurationen, da den aktive SSL/TLS-konfiguration er ugyldig.
Hvis SSL/TLS aktiveres for IPP (printerfunktioner), krypteres sendt data, hvorved det forhindres, at data opfanges, analyseres eller manipuleres.
Aktivering af SSL/TLS
Log ind på maskinen som netværksadministrator fra Web Image Monitor.
Log på maskinen som administratorKlik på [Konfiguration] på [Enhedshåndtering]-menuen.
Klik på [SSL/TLS] under kategorien "Sikkerhed".
Vælg protokollen for at aktivere krypteret kommunikation på "SSL/TLS" for at angive oplysningerne om kommunikationsmetoden.
Tillad SSL/TLS-kommunikation: Vælg en af nedenstående krypteringstilstande for kommunikation, og angiv derefter, om HSTS skal aktiveres. Hvis du vil aktivere HSTS, skal du også angive attributten max-age i intervallet 0 til 31.536.000 sekunder. Når HSTS er aktiveret, bruges HTTPS-kommunikation automatisk til forbindelser fra webbrowseren til maskinen. Attributten for maks. alder fornys hver gang Web Image Monitor og HSTS forbliver aktive i den samme periode.
Chiffertekst-prioritet: Udfører krypteret kommunikation, når der er blevet oprettet et enhedscertifikat. Hvis kryptering ikke er mulig, kommunikerer maskinen data i almindelig tekst.
Chiffertekst/almindelig tekst: Udfører krypteret kommunikation, når der oprettes forbindelse til maskinen via en "https"-adresse fra en webbrowser. Kommunikerer i almindelig tekst, når der oprettes forbindelse til maskinen via en "http"-adresse.
Kun chiffertekst: Tillader kun krypteret kommunikation. Hvis kryptering ikke er mulig af en eller anden årsag, kan maskinen ikke kommunikere. Hvis dette er tilfældet, skal du midlertidigt ændre kommunikationstilstanden til [Chiffertekst/almindelig tekst] i [Host-interface]
[Netværk]
[Tillad SSL/TLS-komm.] og derefter kontrollere indstillingerne.
SSL/TLS-version: Angiv TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0 for at aktivere eller deaktivere. Mindst én af disse protokoller skal være aktiveret.
Indstilling af krypteringsstyrke: Angiv, at krypteringsalgoritmen skal anvendes på AES, CHACHA20, 3DES og RC4. Mindst et afkrydsningsfelt skal markeres.
NØGLEUDVEKSLING: Angiv, om udskiftning af RSA-nøglen skal aktiveres eller deaktiveres.
DIGEST: Angiv, om SHA1 DIGEST skal aktiveres eller deaktiveres.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
For at kryptere kommunikationer med SMTP-serveren skal du bruge følgende procedure for at ændre [Brug sikker forbindelse (SSL)] til [SMTP over SSL] eller [STARTTLS].
Hvis du vil bruge HSTS, skal der installeres et certifikat udstedt af en certifikatmyndighed.
Når HSTS er aktiv, gør valg af "Luk" for "Port 443" under "SSL/TLS" på skærmen "Netværkssikkerhed" Web Image Monitor utilgængelig.
Afhængigt af de tilstande, du angiver for TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0, kan maskinen muligvis ikke tilslutte til en ekstern LDAP-server.
Aktivering af SSL til SMTP-forbindelse
Log på maskinen som maskinadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [E-mail] under kategorien "Enhedsindstillinger".
I "SSL" under "SMTP" skal du vælge [SMTP over SSL] eller [STARTTLS].
Ved at vælge [SMTP over SSL] ændres portnummeret til 465, og ved at vælge [STARTTLS] ændres det til 578.
Når [Automatisk valg] er angivet, bestemmes krypteringsmetoden ud fra portnummeret.
Når der er angivet et andet nummer end 465 eller 578 som portnummer, forsøges kryptering ved hjælp af STARTTLS, men hvis det mislykkes, krypteres kommunikationen ved hjælp af SMTP over SSL.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
Når SSL er aktiveret i SMTP-serveren, sendes e-mail altid via SMTP-serveren.
Når du overvåger enheder, der bruger Device Manager NX via et netværk, kan du kryptere de overførte data ved hjælp af SNMPv3-protokollen.
Log ind på maskinen som netværksadministrator fra Web Image Monitor.
Klik på [Konfiguration] i menuen [Enhedshåndtering].
Klik på [Netværkssikkerhed] under kategorien "Sikkerhed".
I "Tillad SNMPv3-kommunikation" for "SNMP" skal du klikke på [Kun kryptering].
Klik på [OK], og afslut webbrowseren.
- For at ændre de indstillinger, der er angivet i maskinen fra Device Manager NX, skal du angive et krypteringspassword til netværksadministratoren i [Programmér/skift administrator] og derefter registrere krypteringspasswordet i SNMP-kontoen for Device Manager NX.
- Hvis netværksadministratorens [Krypteringspassword] ikke indstilles, vil transmissionsdata muligvis ikke blive krypteret eller afsendt. For oplysninger om specificering af netværksadministratorens Krypteringspassword, se Tilføjelse af indbyggede administratorer eller ændringer af rettigheder.
Du kan kryptere logonpasswordet for printerdriveren og passwordet for IPP-udskrivning for at øge sikkerheden mod, at passwordet brydes.
For at udføre udskrivning fra et LAN på kontoret skal du angive driverkrypteringsnøglen.
For at udføre IPP-udskrivning fra et eksternt netværk skal du kryptere passwordet for IPP-udskrivning.
Angivelse af en driverkrypteringsnøgle til kryptering af passwords
Angiv også den driverkrypteringsnøgle, der er angivet i maskinen, til printerdriveren for at kryptere og dekryptere passwords.
Tryk på [Menu]-tasten.
Log på maskinen som netværksadministrator på betjeningspanelet.
Vælg [Sikkerhedsindstillinger], og tryk derefter på tasten [OK].
Vælg [Udvidet sikkerhed], og tryk derefter på tasten [OK].
Vælg [Driverkrypteringsnøgle], og tryk derefter på tasten [OK].
Tryk på valgtasten under [Indtast].
Indtast driverkrypteringsnøglen, og tryk på [OK].
Indtast driverkrypteringsnøglen med op til 32 alfanumeriske tegn.Gentag trin 6 og 7 for at indtaste driver-krypteringsnøglen igen.
Tryk på valgtasten under [Log af].
Netværksadministratoren skal give brugerne den driverkrypteringsnøgle, der er angivet på maskinen, så de kan registrere den på deres computere.
Sørg for at indtaste samme driverkrypteringsnøgle som den, der er angivet på maskinen.
Når du bruger en PCL 6-printerdriver, kan du indtaste driverkrypteringsnøglen på [Printeregenskaber]
fanen [Avancerede indstillinger]
[Brugergodkendelse].
Yderligere oplysninger om angivelse af krypteringsnøglen på printeren findes i hjælpen til driveren.
Kryptering af passwordet for IPP-udskrivning
Når du udskriver med IPP-protokollen, skal du angive godkendelsesmetoden til [DIGEST] for at kryptere IPP-godkendelsespasswordet. Registrér brugernavnet og passwordet for IPP-godkendelse separat fra brugeroplysningerne i adressebogen.
Log ind på maskinen som netværksadministrator fra Web Image Monitor.
Log på maskinen som administratorKlik på [Konfiguration] på [Enhedshåndtering]-menuen.
Klik på [IPP-godkendelse] under kategorien "Sikkerhed".
Vælg [DIGEST] i "Godkendelse".
Indtast Brugernavn og Password.
Klik på [Til] for "Brugergodkendelsesfunktion i hovedenhed" for at bruge de brugergodkendelsesoplysninger, der er angivet på maskinen, i stedet for brugernavnet og passwordet til IPP-godkendelse.
Klik på [OK].
En meddelelse vises, mens indstillingerne udføres. Det kan være nødvendigt at du venter et kort stykke tid, før du fortsætter til næste trin.Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.
Du kan kryptere kommunikationer mellem maskinen og KDC-serveren (Key Distribution Center), når du bruger Kerberos-godkendelse med Windows- eller LDAP-godkendelse for at sikre kommunikationen.
Den understøttede krypteringsalgoritme afhænger af typen af KDC-server.
Log på maskinen som maskinadministrator fra Web Image Monitor.
Log på maskinen som administratorKlik på [Konfiguration] på [Enhedshåndtering]-menuen.
Klik på [Kerberos-godkendelse] under kategorien "Enhedsindstillinger".
Vælg den krypteringsalgoritme, der skal aktiveres.
Kun Heimdal understøtter DES3-CBC-SHA1.
For at bruge DES-CBC-MD5 i Windows Server-operativsystemet skal du aktivere det i indstillingerne for operativsystemet.
Klik på [OK].
Log ud af maskinen, og afslut derefter webbrowseren.