Szyfrowanie komunikacji sieciowej
Dla zapewnienia bezpieczeństwa przesyłanych informacji niezbędne jest szyfrowanie komunikacji między komputerami i wyposażeniem zewnętrznym.
Dane przesyłane do i z urządzenia mogą zostać przechwycone, uszkodzone lub zmanipulowane podczas transmisji. Między urządzeniem a komputerem lub sprzętem zewnętrznym mogą być na przykład przekazywane następujące dane:
Dokumenty wydrukowane w firmie przy użyciu sterownika drukarki.
Nazwy użytkownika i hasła logowania.
Dostępne metody szyfrowania przedstawiono w poniższej tabeli.
Dane do szyfrowania |
Metoda szyfrowania |
Proces/Odnośnik |
---|---|---|
Web Image Monitor Drukowanie IPP Autoryzacja Windows Autoryzacja LDAP |
SSL/TLS |
Zainstaluj certyfikat urządzenia.
|
Dane dotyczące zarządzania urządzeniem |
SNMPv3 |
Określ hasło szyfrowania.
|
Dane dotyczące uwierzytelniania zadań drukowania |
Klucz szyfrowania sterownika Uwierzytelnianie IPP |
Określanie Klucz szyfrowania sterownika Określ uwierzytelnianie IPP.
|
Dane uwierzytelniania Kerberos |
Zależy od serwera KDC |
Wybierz metodę szyfrowania.
|
Zadaniem administratora jest kontrola nad wygaśnięciem certyfikatów oraz odnowa certyfikatów, zanim upłynie ich data ważności.
Zadaniem administratora jest sprawdzenie, czy wystawca certyfikatu jest do tego upoważniony.
Aby zaszyfrować komunikację z urządzeniem, zainstaluj certyfikat urządzenia.
Istnieje możliwość korzystania z dwóch rodzajów certyfikatów: samopodpisanych (utworzonych przez urządzenie) oraz wystawionych przez urząd certyfikacji. Jeśli jest potrzebny wyższy poziom wiarygodności, należy użyć certyfikatu z urzędu certyfikacji.
Zaloguj się jako administrator sieci z poziomu programu Web Image Monitor.
Logowanie się na urządzeniu jako administratorKliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [Certyfikat urządzenia] w kategorii „Ochrona”.
Na ekranie „Certyfikat urządzenia” zainstaluj certyfikat samopodpisany lub wystawiony przez urząd certyfikacji, wykonując poniższe czynności:
Instalowanie certyfikatu samopodpisanego
Utwórz i zainstaluj certyfikat samopodpisany.
Wybierz numer z listy, aby utworzyć certyfikat samopodpisany.
Kliknij [Utwórz], aby określić niezbędne ustawienia.
Nazwa ogólna: wprowadź nazwę tworzonego certyfikatu urządzenia. Nazwa jest wymagana.
W razie potrzeby określ „Organizacja”, „Jednostka organizacyjna” i inne elementy.Kliknij [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.Kliknij [OK].
„Zainstalowana” jest wyświetlane w [Status certyfikatu].
Instalowanie certyfikatu wystawionego przez urząd certyfikacji
Wystąp do urzędu certyfikacji o certyfikat urządzenia i zainstaluj go. Wykonaj te same kroki w celu zainstalowania certyfikatu pośredniego.
Wybierz numer z listy, aby utworzyć certyfikat urządzenia.
Kliknij [Żądanie], aby określić niezbędne ustawienia.
Kliknij [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.Kliknij [OK].
„Żądający” jest wyświetlane w „Status certyfikatu”.Złóż wniosek do urzędu certyfikacji o wystawienie certyfikatu urządzenia.
Wniosku o certyfikat nie można wysłać do urzędu certyfikacji z poziomu programu Web Image Monitor. Procedura składania wniosku o certyfikat po utworzeniu certyfikatu jest uzależniona od urzędu certyfikacji. Szczegółowe informacje - proszę skontaktować się z urzędem certyfikacji.
W przypadku aplikacji kliknij ikonę Szczegółyi skorzystaj z informacji wyświetlanych na ekranie „Szczegóły certyfikatu”.
W przypadku występowania jednocześnie o wiele certyfikatów miejsce wystawienia może się w nich nie pojawić. Instalując te certyfikaty, sprawdź miejsce docelowe certyfikatu i procedurę instalacji.Po wystawieniu certyfikatu urządzenia przez urząd certyfikacji wybierz numer wystawionego certyfikatu z listy na ekranie „Certyfikat urządzenia” i kliknij opcję [Zainstaluj].
Wpisz zawartość certyfikatu urządzenia w polach wprowadzania.
Aby zainstalować w tym samym czasie certyfikat pośredni, wprowadź również zawartość tego certyfikatu.
Jeśli certyfikat pośredni wystawiony przez urząd certyfikacji nie zostanie zainstalowany, podczas komunikacji sieciowej będzie wyświetlany komunikat ostrzeżenia. W przypadku wystawienia certyfikatu pośredniego przez urząd certyfikacji należy zainstalować ten certyfikat.Kliknij [OK].
„Zainstalowana” jest wyświetlane w „Status certyfikatu”.
Po zakończeniu instalacji wybierz certyfikat dla każdej aplikacji w obszarze „Certyfikacja”.
Kliknij [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.Kliknij [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
W celu wydrukowania danych na urządzeniu przy użyciu IPP-SSL użytkownik musi zainstalować na komputerze certyfikat. Uzyskując dostęp do urządzenia przez IPP, wybierz [Zaufane główne urzędy certyfikacji] w celu wskazania lokalizacji certyfikatu.
Aby zmienić ustawienie [Nazwa ogólna] certyfikatu urządzenia w przypadku korzystania za standardowego portu IPP systemu Windows, należy najpierw usunąć wszystkie skonfigurowane wcześniej drukarki PC, a następnie ponownie zainstalować sterownik drukarki. Aby zmienić ustawienia uwierzytelniania użytkownika (nazwę użytkownika i hasło logowania), należy najpierw usunąć wszystkie skonfigurowane wcześniej drukarki PC, a następnie ponownie zainstalować sterownik drukarki.
Do programu Web Image Monitor można również przesłać utworzone certyfikaty urządzenia. Obsługiwane są certyfikaty urządzenia w następujących formatach plików. Szczegółowe informacje na temat przesyłania danych można znaleźć w Pomocy Web Image Monitor .
- PKCS#12
- PEM
Standard SSL (Secure Sockets Layer) /TLS (Transport Layer Security) umożliwia szyfrowanie komunikacji w sieci. Użycie protokołu SSL/TLS zapobiega przechwyceniu, uszkodzeniu i modyfikacji danych.
Przepływ szyfrowanej komunikacji SSL/TLS
Komputer użytkownika zgłasza żądanie certyfikatu SSL/TLS urządzenia oraz klucza publicznego przy dostępie do urządzenia.
Certyfikat urządzenia i klucz publiczny są przesyłane z urządzenia do komputera użytkownika.
Klucz współdzielony utworzony na komputerze jest szyfrowany przy użyciu klucza publicznego, wysyłany do urządzenia, a następnie odszyfrowywany przy użyciu klucza prywatnego w urządzeniu.
Klucz współdzielony jest używany do szyfrowania i odszyfrowywania danych, dzięki czemu transmisja jest bezpieczna.
Aby włączyć szyfrowaną komunikację, należy uprzednio zainstalować certyfikat urządzenia na urządzeniu.
W celu szyfrowania komunikacji za pomocą protokołu SSL/TLS, należy go włączyć w następujący sposób:
Aby sprawdzić, czy konfiguracja SSL/TLS została włączona, na pasku adresu przeglądarki wprowadź "https://(adres IP urządzenia lub nazwa hosta)/", aby połączyć się z urządzeniem. Jeśli pojawi się komunikat "Nie można wyświetlić strony", sprawdź konfigurację, ponieważ aktualna konfiguracja SSL/TLS jest nieprawidłowa.
Jeśli włączone zostanie szyfrowanie SSL/TLS połączeń IPP (funkcje drukarki), wysyłane dane będą szyfrowane, co zapobiegnie ich przechwyceniu, analizie i modyfikacji.
Włączanie SSL/TLS
Zaloguj się jako administrator sieci z poziomu programu Web Image Monitor.
Logowanie się na urządzeniu jako administratorKliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [SSL/TLS] w kategorii „Ochrona”.
Wybierz protokół w celu włączenia szyfrowanej komunikacji w „SSL/TLS”, aby określić szczegóły metody komunikacji.
Pozwól na komunikację SSL/TLS: wybierz jeden z poniższych trybów szyfrowania komunikacji, a następnie określ, czy aktywować HSTS. Aby aktywować HSTS, podaj również atrybut max-age w zakresie od 0 do 31 536 000 sekund. Gdy HSTS jest aktywowany, do połączeń z przeglądarki internetowej z urządzeniem jest automatycznie używana komunikacja HTTPS. Atrybut max-age jest odnawiany za każdym razem, gdy Web Image Monitor i HSTS pozostają aktywne przez ten sam okres.
Priorytet szyfrowania tekstu: realizuje szyfrowaną komunikację, gdy został utworzony certyfikat urządzenia. Jeśli szyfrowanie nie jest możliwe, urządzenie przekazuje dane w postaci zwykłego tekstu.
Szyfrowany/Jawny tekst: realizuje szyfrowaną komunikację w przypadku łączenia się z urządzeniem za pomocą adresu „https” w przeglądarce. W przypadku nawiązania połączenia z urządzeniem przy użyciu adresu „http” komunikacja jest realizowana przy użyciu zwykłego tekstu.
Tylko szyfrowany tekst: zezwala tylko na komunikację szyfrowaną. Jeśli z jakiegoś powodu szyfrowanie nie jest możliwe, urządzenie nie może realizować komunikacji. W takim przypadku tymczasowo zmień tryb komunikacji na [Szyfrowany/Jawny tekst] w [Interfejs hosta]
[Sieć]
[Zezwól na komunik. SSL/TLS], a następnie sprawdź ustawienia.
Wersja SSL/TLS: określ TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 oraz SSL 3.0 do aktywacji lub dezaktywacji. Co najmniej jeden protokół musi być włączony.
Ustawienia szyfrowania: umożliwia określenie stosowanego algorytmu szyfrowania AES, CHACHA20, 3DES i RC4. Musisz wybrać przynajmniej jedno pole wyboru.
WYMIANA KLUCZA: umożliwia włączenie lub wyłączenie wymiany klucza RSA.
DIGEST: umożliwia włącznie lub wyłączenie funkcji SHA1 DIGEST.
Kliknij [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
Aby zaszyfrować komunikację z serwerem SMTP, należy użyć poniższej procedury w celu zmiany ustawienia [Użyj bezpiecznego połączenia (SSL)] na [SMTP przez SSL] lub [STARTTLS].
Aby korzystać z HSTS, należy zainstalować certyfikat wydany przez urząd certyfikacji.
Gdy HSTS jest aktywne, wybranie „Zamknij” dla „Port 443” w „SSL/TLS” na ekranie „Ochrona sieci” powoduje, że Web Image Monitor jest niedostępne.
Zależnie od stanów wskazanych dla TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 i SSL 3.0, urządzenie może nie być w stanie połączyć się z zewnętrznym serwerem LDAP.
Włączanie połączeń SSL dla SMTP
Zaloguj się jako administrator urządzenia z poziomu programu Web Image Monitor.
Kliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [E-mail] w kategorii „Ustawienia urządzenia”.
W „SSL” w polu „SMTP”, wybierz [SMTP przez SSL] lub [STARTTLS].
Wybranie opcji [SMTP przez SSL] powoduje zmianę portu na 465, a opcji [STARTTLS] — na 578.
W przypadku wybrania opcji [Automatyczny wybór] metoda szyfrowania jest określana na podstawie numeru portu.
Jeśli jako numer portu podano liczbę inną niż 465 lub 578, podejmowana jest próba szyfrowania przy użyciu STARTTLS, ale jeśli się nie uda, komunikacja jest szyfrowana przy użyciu metody SMTP za pośrednictwem SSL.
Kliknij [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
W przypadku włączenia protokołu SSL na serwerze SMTP e-maile zawsze wysyłane są przez serwer SMTP.
W przypadku monitorowania urządzeń za pomocą programu Device Manager NX przez sieć przesyłane dane można szyfrować przy użyciu protokołu SNMPv3.
Zaloguj się jako administrator sieci z poziomu programu Web Image Monitor.
Kliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [Ochrona sieci] w kategorii „Ochrona”.
W „Pozwól na komunikację SNMPv3” z „SNMP” kliknij [Tylko szyfrowanie].
Kliknij [OK], aby zamknąć przeglądarkę.
- Aby zmienić ustawienia zdefiniowane na urządzeniu z poziomu programu Device Manager NX, określ hasło szyfrowania dla administratora sieci w obszarze [Zarejestruj/ Zmień administratora], a następnie zarejestruj hasło szyfrowania w ramach konta SNMP w programie Device Manager NX.
- Jeśli nie określono ustawienia [Hasło szyfrowania] administratora sieci, dane mogą być przesyłane bez szyfrowania lub mogą nie być przesyłane. Aby uzyskać szczegółowe informacje na temat określania ustawień Hasło szyfrowania administratora sieci, patrz Dodawanie wbudowanych administratorów i zmienianie uprawnień.
Hasło logowania sterownika drukarki oraz hasło drukowania IPP można zaszyfrować w celu lepszego zabezpieczenia tych haseł przed złamaniem.
Aby przeprowadzić drukowanie z poziomu biurowej sieci LAN, należy określić klucz szyfrowania sterownika.
Aby przeprowadzić drukowanie IPP z poziomu sieci zewnętrznej, należy zaszyfrować hasło drukowania IPP.
Określanie klucza szyfrowania sterownika na potrzeby szyfrowania haseł
Klucz szyfrowania sterownika ustawiony na urządzeniu należy również określić w sterowniku drukarki w celu umożliwienia szyfrowania i odszyfrowywania haseł.
Naciśnij przycisk [Menu].
Zaloguj się na urządzeniu jako administrator sieci, korzystając z panelu operacyjnego.
Wybierz opcję [Opcje ochrony], a następnie naciśnij przycisk [OK].
Wybierz opcję [Rozszerz. ochrona], a następnie naciśnij przycisk [OK].
Wybierz opcję [Klucz szyfrow. sterownika], a następnie naciśnij przycisk [OK].
Naciśnij klawisz wyboru znajdujący się poniżej [Wpisz].
Wprowadź klucz szyfrowania sterownika, a następnie naciśnij przycisk [OK].
Wprowadź klucz szyfrowania sterownika o długości do 32 znaków alfanumerycznych.Powtórz kroki 6 i 7, aby ponownie wprowadzić klucz szyfrowania sterownika.
Naciśnij klawisz wyboru znajdujący się poniżej [Wylogow.].
Administrator sieci musi podać użytkownikom klucz szyfrowania sterownika określony w urządzeniu, aby mogli zarejestrować go w swoich komputerach.
Upewnij się, że że wprowadzany klucz szyfrowania sterownika jest taki sam, jak klucz określony w urządzeniu.
W przypadku korzystania ze sterownika drukarki PCL 6 klucz szyfrowania sterownika można wprowadzić w obszarze [Właściwości drukarki]
, zakładka [Opcje zaawansow.]
[User Authentication].
Szczegółowe informacje dotyczące określania klucza szyfrowania w drukarce można znaleźć w pomocy sterownika.
Szyfrowanie hasła drukowania IPP
W przypadku drukowania przy użyciu protokołu IPP określ metodę uwierzytelniania [DIGEST] w celu szyfrowania hasła uwierzytelniania IPP. Nazwę użytkownika i hasło na potrzeby uwierzytelniania IPP należy zarejestrować oddzielnie od danych użytkownika w Książce adresowej.
Zaloguj się jako administrator sieci z poziomu programu Web Image Monitor.
Logowanie się na urządzeniu jako administratorKliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [Autoryzacja IPP] w kategorii „Ochrona”.
Wybierz [DIGEST] w „Autoryzacja”.
Wprowadź Nazwa użytkownika i Hasło.
Kliknij [Włączone] w opcji „Funkcja autoryzacji użytkownika zespołu głównego” aby użyć informacji uwierzytelniających użytkownika określonych w urządzeniu zamiast nazwy użytkownika i hasła do uwierzytelnienia IPP.
Kliknij [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.Kliknij [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
Komunikację między urządzeniem a serwerem centrum dystrybucji kluczy (Key Distribution Center, KDC) można zabezpieczyć szyfrowaniem w przypadku korzystania z uwierzytelniania Kerberos w połączeniu z Autoryzacja Windowns lub Autoryzacja LDAP.
Obsługiwany algorytm szyfrowania różni się w zależności od typu serwera KDC.
Zaloguj się jako administrator urządzenia z poziomu programu Web Image Monitor.
Logowanie się na urządzeniu jako administratorKliknij [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [Autoryzacja Kerberos] w kategorii „Ustawienia urządzenia”.
Wybierz algorytm szyfrowania, który chcesz włączyć.
Jedynie rozwiązanie Heimdal obsługuje standard DES3-CBC-SHA1.
Aby używać szyfrowania DES-CBC-MD5 w systemie operacyjnym Windows Server, włącz je w ustawieniach systemu operacyjnego.
Kliknij [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.