Šifrovanie sieťovej komunikácie
Na ochranu komunikovaných informácií je potrebné šifrovať komunikáciu medzi počítačmi a externými zariadeniami.
Údaje odoslané zo zariadenia a prijaté zariadením môžu byť počas prenosu zachytené, prelomené alebo zmanipulované. Medzi zariadením a externými zariadeniami alebo počítačom sa môžu prenášať napríklad tieto údaje:
Dokumenty vytlačené vo firme pomocou ovládača tlačiarne
Prihlasovacie meno používateľa a prihlasovacie heslo
Spôsoby šifrovania údajov nájdete v nasledujúcej tabuľke.
Údaje, ktoré sa majú zašifrovať |
Metóda šifrovania |
Proces/odkaz |
---|---|---|
Web Image Monitor Tlač IPP Overenie Windows Overenie LDAP |
SSL/TLS |
Nainštalujte certifikát zariadenia.
|
Údaje o správe zariadenia |
SNMPv3 |
Zadajte šifrovacie heslo.
|
Informácie o overení tlačových úloh |
Šifrovací kľúč ovládača Overovanie IPP |
Zadanie šifrovacieho kľúča ovládača Zadajte overovanie IPP.
|
Overovacie údaje Kerberos |
Líši sa v závislosti od servera KDC |
Vyberte metódu šifrovania.
|
Od správcu sa vyžaduje, aby spravoval uplynutie platnosti certifikátov a obnovoval certifikáty pred uplynutím ich platnosti.
Od správcu sa vyžaduje, aby skontroloval, či je vydavateľ certifikátu platný.
Ak chcete šifrovať komunikáciu so zariadením, nainštalujte certifikát zariadenia.
Je možné použiť dva typy certifikátov zariadenia: certifikát s vlastným podpisom vytvorený zariadením a certifikát vydaný certifikačnou autoritou. Ak potrebujete vyššiu spoľahlivosť, použite certifikát vydaný certifikačnou autoritou.
Prihláste sa do zariadenia ako správca siete z aplikácie Web Image Monitor.
Prihlásenie do zariadenia ako správcaKliknite na [Configuration] v ponuke [Device Management].
Kliknite na [Device Certificate] v kategórii „Security“.
Na obrazovke „Device Certificate“ nainštalujte certifikát s vlastným podpisom alebo certifikát vydaný certifikačnou autoritou podľa nasledujúcich pokynov:
Inštalácia certifikátu s vlastným podpisom
Vytvorte a nainštalujte certifikát s vlastným podpisom.
Vyberte číslo zo zoznamu na vytvorenie certifikátu s vlastným podpisom.
Kliknutím na možnosť [Create] zadajte potrebné nastavenia.
Common Name: Zadajte názov certifikátu zariadenia, ktorý chcete vytvoriť. Musíte zadať názov.
Podľa potreby zadajte „Organization“, „Organizational Unit“ a iné položky.Kliknite na [OK].
Počas vykonávania nastavení sa zobrazí hlásenie. Možno bude potrebné chvíľu počkať, kým prejdete k ďalšiemu kroku.Kliknite na [OK].
„Installed“ sa zobrazí v položke [Certificate Status].
Inštalácia certifikátu vydaného certifikačnou autoritou
Vyžiadajte si certifikát zariadenia od certifikačnej autority a nainštalujte ho. Pri inštalácii sprostredkovateľského certifikátu postupujte podľa rovnakých krokov.
Vyberte číslo zo zoznamu na vytvorenie certifikátu zariadenia.
Kliknutím na možnosť [Request] zadajte potrebné nastavenia.
Kliknite na [OK].
Počas vykonávania nastavení sa zobrazí hlásenie. Možno bude potrebné chvíľu počkať, kým prejdete k ďalšiemu kroku.Kliknite na [OK].
„Requesting“ sa zobrazí v položke „Certificate Status“.Použite na certifikačnú autoritu pre certifikát zariadenia.
O certifikát od certifikačnej autority nemôžete požiadať z aplikácie Web Image Monitor. Postup podania žiadosti sa líši v závislosti od certifikačnej autority. Podrobnosti získate od certifikačnej autority.
Pri žiadosti kliknite na ikonu Podrobnostia použite informácie, ktoré sa zobrazia na obrazovke „Certificate Details“.
Miesto vydania sa nemusí zobraziť, ak požiadate o viacero certifikátov súčasne. Pri inštalácii certifikátu sa uistite, že ste skontrolovali miesto určenia certifikátu a postup inštalácie.Po vydaní certifikátu zariadenia certifikačnou autoritou vyberte číslo vydaného certifikátu zo zoznamu na obrazovke „Device Certificate“ a potom kliknite na tlačidlo [Install].
Do polí pre zadávanie zadajte obsah certifikátu zariadenia.
Ak chcete súčasne nainštalovať sprostredkovateľský certifikát, zadajte aj obsah sprostredkovateľského certifikátu.
Ak nie je nainštalovaný sprostredkovateľský certifikát vydaný certifikačnou autoritou, počas sieťovej komunikácie sa zobrazí varovné hlásenie. Ak bol sprostredkovateľský certifikát vydaný certifikačnou autoritou, musíte nainštalovať sprostredkovateľský certifikát.Kliknite na [OK].
„Installed“ sa zobrazí v položke „Certificate Status“.
Po dokončení inštalácie vyberte certifikát pre jednotlivé aplikácie v ponuke „Certification“.
Kliknite na [OK].
Počas vykonávania nastavení sa zobrazí hlásenie. Možno bude potrebné chvíľu počkať, kým prejdete k ďalšiemu kroku.Kliknite na [OK].
Odhláste sa zo zariadenia a potom ukončite webový prehliadač.
Ak chce používateľ tlačiť údaje v zariadení pomocou protokolu IPP-SSL, musí si do počítača nainštalovať certifikát. Pri prístupe k zariadeniu pomocou protokolu IPP vyberte pre umiestnenie úložiska certifikátov položku [Dôveryhodné koreňové certifikačné autority].
Ak chcete zmeniť položku [Common Name] certifikátu zariadenia pri používaní štandardného portu IPP systému Windows, odstráňte predtým všetky dopredu nakonfigurované tlačiarne v počítači a znova nainštalujte ovládač tlačiarne. Ak chcete zmeniť aj nastavenia overovania používateľa (prihlasovacie meno a heslo), odstráňte predtým akúkoľvek nakonfigurovanú PC tlačiareň, zmeňte nastavenia overovania používateľa a potom znova nainštalujte ovládač tlačiarne.
V aplikácii Web Image Monitor môžete nahrať aj vytvorené certifikáty zariadenia. Podporované sú certifikáty zariadenia v nasledujúcich formátoch súborov. Podrobnosti o nahrávaní nájdete v pomocníkovi aplikácie Web Image Monitor.
- PKCS#12
- PEM
SSL (Secure Sockets Layer)/TLS (Transport Layer Security) je metóda šifrovania sieťovej komunikácie. Protokol SSL/TLS zabraňuje zachyteniu, prelomeniu alebo falšovaniu údajov.
Tok šifrovanej komunikácie SSL/TLS
Počítač používateľa si pri prístupe k zariadeniu vyžiada certifikát zariadenia SSL/TLS a verejný kľúč.
Certifikát zariadenia a verejný kľúč sa odošlú zo zariadenia do počítača používateľa.
Zdieľaný kľúč vytvorený v počítači sa zašifruje pomocou verejného kľúča, odošle sa do zariadenia a potom sa dešifruje pomocou súkromného kľúča v zariadení.
Zdieľaný kľúč sa používa na šifrovanie a dešifrovanie údajov, čím sa dosiahne bezpečný prenos.
Ak chcete povoliť šifrovanú komunikáciu, nainštalujte do zariadenia vopred certifikát zariadenia.
Ak chcete šifrovať komunikáciu pomocou protokolu SSL/TLS, povoľte protokol SSL/TLS nasledujúcim spôsobom:
Ak chcete skontrolovať, či je konfigurácia SSL/TLS povolená, zadajte do adresného riadka webového prehliadača „https://(IP adresa alebo názov hostiteľa zariadenia)/“ a získajte prístup k tomuto zariadeniu. Ak sa zobrazí hlásenie „Stránku nemožno zobraziť“, skontrolujte konfiguráciu, pretože aktuálna konfigurácia SSL/TLS je neplatná.
Ak povolíte protokol SSL/TLS pre protokol IPP (funkcie tlačiarne), odosielané údaje sa šifrujú, čím sa zabráni ich zachyteniu, analýze alebo manipulácii.
Povolenie protokolu SSL/TLS
Prihláste sa do zariadenia ako správca siete z aplikácie Web Image Monitor.
Prihlásenie do zariadenia ako správcaKliknite na [Configuration] v ponuke [Device Management].
Kliknite na [SSL/TLS] v kategórii „Security“.
Vyberte protokol na povolenie šifrovanej komunikácie v položke „SSL/TLS“ a zadajte podrobnosti o spôsobe komunikácie.
Permit SSL/TLS Communication: Vyberte jeden z nižšie uvedených spôsobov šifrovanej komunikácie a potom zadajte, či sa má aktivovať HSTS. Ak chcete aktivovať HSTS, zadajte aj atribút max-age v rozsahu 0 až 31 536 000 sekúnd. Ak je aktivovaná funkcia HSTS, na pripojenie z webového prehliadača k zariadeniu sa automaticky používa komunikácia HTTPS. Atribút max-age sa obnovuje zakaždým, keď sú aplikácia Web Image Monitor a HSTS aktívne počas rovnakého obdobia.
Ciphertext Priority: Vykonáva šifrovanú komunikáciu, keď bol vytvorený certifikát zariadenia. Ak šifrovanie nie je možné, zariadenie komunikuje údaje v otvorenom texte.
Ciphertext/Cleartext: Vykonáva šifrovanú komunikáciu, keď sa k zariadeniu pripája pomocou adresy „https“ z webového prehliadača. Komunikuje v otvorenom texte, keď sa k zariadeniu pripája pomocou adresy „http“.
Ciphertext Only: Umožňuje len šifrovanú komunikáciu. Ak šifrovanie nie je z nejakého dôvodu možné, zariadenie nemôže komunikovať. V takom prípade dočasne zmeňte režim komunikácie na [Šifrovaný/nešifrovaný text] v ponuke [Host Interface]
[Network]
[Permit SSL/TLS Comm.] a skontrolujte nastavenia.
SSL/TLS Version: Zadajte TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 a SSL 3.0, ktoré chcete povoliť alebo zakázať. Aspoň jeden z týchto protokolov musí byť povolený.
Encryption Strength Setting: Zadajte šifrovací algoritmus, ktorý sa má použiť pre AES, CHACHA20, 3DES a RC4. Musíte zaškrtnúť aspoň jedno políčko.
KEY EXCHANGE: Zadajte, či sa má povoliť alebo zakázať výmena kľúča RSA.
DIGEST: Zadajte, či sa má povoliť alebo zakázať SHA1 DIGEST.
Kliknite na [OK].
Odhláste sa zo zariadenia a potom ukončite webový prehliadač.
Ak chcete šifrovať komunikáciu so serverom SMTP, použite nasledujúci postup na zmenu položky [Použiť zabezpečené pripojenie (SSL)] na [SMTP cez SSL] alebo [STARTTLS].
Ak chcete používať HSTS, musí byť nainštalovaný certifikát vydaný certifikačnou autoritou.
Keď je aktívny HSTS, výberom možnosti „Close“ pre „Port 443“ ponuky „SSL/TLS“ na obrazovke „Network Security“ sa zneprístupní aplikácia Web Image Monitor.
V závislosti od stavov, ktoré zadáte pre TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 a SSL 3.0, zariadenie nemusí byť schopné sa pripojiť k externému serveru LDAP.
Povolenie protokolu SSL pre pripojenie SMTP
Prihláste sa do zariadenia ako správca zariadenia z aplikácie Web Image Monitor.
Kliknite na [Configuration] v ponuke [Device Management].
Kliknite na [Email] v kategórii „Device Settings“.
V časti „SSL“ v ponuke „SMTP“ vyberte možnosť [SMTP over SSL] alebo [STARTTLS].
Výberom [SMTP cez SSL] sa číslo portu zmení na 465 a výberom [STARTTLS] sa zmení na 578.
Ak je vybraná možnosť [Automatický výber], metóda šifrovania sa určí na základe čísla portu.
Ak je pre číslo portu zadané iné číslo ako 465 alebo 578, dôjde k pokusu o šifrovanie pomocou STARTTLS, ale ak sa to nepodarí, komunikácia sa zašifruje pomocou SMTP over SSL.
Kliknite na [OK].
Odhláste sa zo zariadenia a potom ukončite webový prehliadač.
Keď je v serveri SMTP povolený protokol SSL, e-maily sa vždy odosielajú prostredníctvom servera SMTP.
Pri monitorovaní zariadení pomocou Device Manager NX cez sieť môžete šifrovať prenášané údaje pomocou protokolu SNMPv3.
Prihláste sa do zariadenia ako správca siete z aplikácie Web Image Monitor.
Kliknite na [Configuration] v ponuke [Device Management].
Kliknite na [Network Security] v kategórii „Security“.
V ponuke „Permit SNMPv3 Communication“ v časti „SNMP“ kliknite na tlačidlo [Encryption Only].
Kliknite na [OK] a potom ukončite webový prehliadač.
- Ak chcete zmeniť nastavenia zadané v zariadení z nástroja Device Manager NX, zadajte šifrovacie heslo správcovi siete v položke [Program/Change Administrator], a potom zaregistrujte šifrovacie heslo v účte SNMP nástroja Device Manager NX.
- Ak nastavenie správcu siete [Šifrovacie heslo] nie je zadané, údaje na prenos sa nemusia zašifrovať alebo odoslať. Podrobnosti o zadávaní nastavenia šifrovacieho hesla správcu siete nájdete v časti Pridanie vstavaných správcov alebo zmena oprávnení..
Prihlasovacie heslo pre ovládač tlačiarne a heslo pre tlač IPP môžete zašifrovať, aby ste zvýšili zabezpečenie proti prelomeniu hesla.
Ak chcete vykonávať tlač zo siete LAN vo vnútri kancelárie, zadajte šifrovací kľúč ovládača.
Ak chcete vykonávať tlač IPP z externej siete, zašifrujte heslo tlače IPP.
Zadanie šifrovacieho kľúča ovládača na šifrovanie hesiel
Šifrovací kľúč ovládača uvedený v zariadení zadajte aj ovládaču tlačiarne na šifrovanie a dešifrovanie hesiel.
Stlačte tlačidlo [Menu].
Prihláste sa do zariadenia ako správca siete na ovládacom paneli.
Vyberte možnosť [Security Options] a potom stlačte tlačidlo [OK].
Vyberte možnosť [Extended Security] a potom stlačte tlačidlo [OK].
Vyberte možnosť [Driver Encryption Key] a potom stlačte tlačidlo [OK].
Stlačte tlačidlo výberu pod [Enter].
Zadajte šifrovací kľúč ovládača a potom stlačte tlačidlo [OK].
Zadajte šifrovací kľúč ovládača pomocou maximálne 32 alfanumerických znakov.Zopakujte kroky 6 a 7 a znovu zadajte šifrovací kľúč ovládača.
Stlačte tlačidlo výberu pod [Logout].
Správca siete musí dať používateľom šifrovací kľúč ovládača zadaný v zariadení, aby ho mohli zaregistrovať na svojich počítačoch.
Dbajte na to, aby ste zadali rovnaký šifrovací kľúč ovládača, aký je uvedený v zariadení.
Pri použití ovládača tlačiarne PCL 6 môžete šifrovací kľúč ovládača zadať v položke [Vlastnosti tlačiarne]
karta [Rozšírené možnosti]
[User Authentication].
Podrobnosti o zadávaní šifrovacieho kľúča na tlačiarni nájdete v pomocníkovi ovládača.
Šifrovanie hesla tlače IPP
Pri tlači pomocou protokolu IPP zadajte metódu overovania na [DIGEST] na zašifrovanie hesla overovania IPP. Meno používateľa a heslo pre overovanie IPP zaregistrujte oddelene od informácií o používateľovi v adresári.
Prihláste sa do zariadenia ako správca siete z aplikácie Web Image Monitor.
Prihlásenie do zariadenia ako správcaKliknite na [Configuration] v ponuke [Device Management].
Kliknite na [IPP Authentication] v kategórii „Security“.
Vyberte [DIGEST] v ponuke „Authentication“.
Zadajte User Name a Password.
Kliknutím na možnosť [On] položky „User Authentication Function of Main Unit“ použijete namiesto používateľského mena a hesla na overenie IPP informácie o overení používateľa zadané v zariadení.
Kliknite na [OK].
Počas vykonávania nastavení sa zobrazí hlásenie. Možno bude potrebné chvíľu počkať, kým prejdete k ďalšiemu kroku.Kliknite na [OK].
Odhláste sa zo zariadenia a potom ukončite webový prehliadač.
Komunikáciu medzi zariadením a serverom KDC (Key Distribution Center) môžete šifrovať, ak na zabezpečenie komunikácie používate overovanie Kerberos s Overením Windows alebo LDAP.
Podporovaný šifrovací algoritmus sa líši v závislosti od typu servera KDC.
Prihláste sa do zariadenia ako správca zariadenia z aplikácie Web Image Monitor.
Prihlásenie do zariadenia ako správcaKliknite na [Configuration] v ponuke [Device Management].
Kliknite na [Kerberos Authentication] v kategórii „Device Settings“.
Vyberte šifrovací algoritmus, ktorý chcete povoliť.
Iba Heimdal podporuje DES3-CBC-SHA1.
Ak chcete v systéme Windows Server používať algoritmus DES-CBC-MD5, povoľte ho v nastaveniach operačného systému.
Kliknite na [OK].
Odhláste sa zo zariadenia a potom ukončite webový prehliadač.