Mã Hóa Giao Tiếp Mạng
Để bảo vệ thông tin được giao tiếp, cần phải mã hóa liên lạc giữa máy tính và thiết bị ngoài.
Dữ liệu do máy gửi và nhận có thể bị chặn, bẻ khóa hoặc giả mạo trong quá trình truyền. Ví dụ: dữ liệu sau có thể được truyền giữa máy và các thiết bị ngoài hoặc máy tính:
Tài liệu được in trong công ty bằng trình điều khiển máy in
Tên người dùng đăng nhập và mật khẩu đăng nhập
Xem bảng bên dưới để biết các phương thức mã hóa dữ liệu.
Dữ liệu cần mã hóa |
Phương thức mã hóa |
Quy trình/Tham chiếu |
---|---|---|
Web Image Monitor In IPP Xác thực Windows Xác thực LDAP |
SSL/TLS |
Cài đặt chứng chỉ thiết bị.
|
Dữ liệu quản lý máy |
SNMPv3 |
Chỉ định mật khẩu mã hóa.
|
Thông tin xác thực của các lệnh in |
Khóa mã hóa trình điều khiển Xác thực IPP |
Chỉ Định Khóa Mã Hóa Trình Điều Khiển Chỉ định xác thực IPP.
|
Dữ liệu xác thực Kerberos |
Thay đổi tùy thuộc vào máy chủ KDC |
Chọn một phương thức mã hóa.
|
Quản trị viên phải quản lý thời hạn của chứng chỉ và gia hạn các chứng chỉ trước khi chúng hết hạn.
Quản trị viên phải kiểm tra xem người cấp chứng chỉ có hợp lệ hay không.
Để mã hóa giao tiếp với máy, hãy cài đặt chứng chỉ thiết bị.
Có thể sử dụng hai loại chứng chỉ thiết bị: chứng chỉ tự ký do máy tạo ra và chứng chỉ do cơ quan chứng nhận cấp. Khi bạn cần độ tin cậy cao hơn, hãy sử dụng chứng chỉ do cơ quan chứng nhận cấp.
Đăng nhập vào máy với tư cách là quản trị viên mạng từ Web Image Monitor.
Đăng nhập vào Máy với tư cách Quản Trị ViênNhấp vào [Configuration] trên menu [Device Management].
Nhấp vào [Device Certificate] trong danh mục "Security".
Trên màn hình "Device Certificate" hãy cài đặt chứng chỉ tự ký hoặc chứng chỉ do cơ quan chứng nhận cấp bằng cách thực hiện theo các hướng dẫn bên dưới:
Để cài đặt chứng chỉ tự ký
Tạo và cài đặt chứng chỉ tự ký.
Chọn số từ danh sách để tạo chứng chỉ tự ký.
Nhấp vào [Create] để chỉ định các cài đặt cần thiết.
Common Name: Nhập tên của chứng chỉ thiết bị cần tạo. Bạn phải nhập tên.
Chỉ định "Organization", "Organizational Unit", và các mục khác nếu cần thiết.Nhấp vào [OK].
Một thông báo xuất hiện trong khi đang thực hiện cài đặt. Bạn có thể cần đợi một thời gian ngắn trước khi chuyển sang bước tiếp theo.Nhấp vào [OK].
"Installed" được hiển thị trong [Certificate Status].
Để cài đặt chứng chỉ do cơ quan chứng nhận cấp
Yêu cầu chứng chỉ thiết bị từ cơ quan chứng nhận và cài đặt chứng chỉ đó. Làm theo các bước tương tự để cài đặt chứng chỉ trung gian.
Chọn số từ danh sách để tạo chứng chỉ thiết bị.
Nhấp vào [Request] để chỉ định các cài đặt cần thiết.
Nhấp vào [OK].
Một thông báo xuất hiện trong khi đang thực hiện cài đặt. Bạn có thể cần đợi một thời gian ngắn trước khi chuyển sang bước tiếp theo.Nhấp vào [OK].
"Requesting" được hiển thị trong "Certificate Status".Nộp đơn xin chứng chỉ thiết bị cho cơ quan chứng nhận.
Bạn không thể nộp đơn lên cơ quan chứng nhận từ Web Image Monitor. Thủ tục đăng ký khác nhau tùy thuộc vào cơ quan chứng nhận. Để biết chi tiết, hãy liên hệ với cơ quan chứng nhận.
Để biết về đơn xin, hãy nhấp vào biểu tượng Chi Tiếtvà sử dụng thông tin xuất hiện trên màn hình "Certificate Details".
Vị trí cấp có thể không được hiển thị nếu bạn yêu cầu nhiều chứng nhận cùng một lúc. Khi bạn cài đặt chứng chỉ, hãy nhớ kiểm tra vị trí đích của chứng chỉ và quy trình cài đặt.Sau khi chứng chỉ thiết bị đã được cơ quan chứng nhận cấp, hãy chọn số lượng chứng chỉ đã cấp từ danh sách trên màn hình "Device Certificate" sau đó nhấp vào [Install].
Nhập nội dung của chứng chỉ thiết bị vào các trường nhập.
Để cài đặt chứng chỉ trung gian cùng lúc, hãy nhập nội dung của chứng chỉ trung gian.
Nếu chứng chỉ trung gian do cơ quan chứng nhận cấp không được cài đặt, thông báo cảnh báo sẽ hiển thị trong quá trình giao tiếp mạng. Khi chứng chỉ trung gian đã được cơ quan chứng nhận cấp, bạn phải cài đặt chứng chỉ trung gian.Nhấp vào [OK].
"Installed" được hiển thị trong "Certificate Status".
Sau khi hoàn tất cài đặt, hãy chọn chứng chỉ cho từng ứng dụng trên "Certification".
Nhấp vào [OK].
Một thông báo xuất hiện trong khi đang thực hiện cài đặt. Bạn có thể cần đợi một thời gian ngắn trước khi chuyển sang bước tiếp theo.Nhấp vào [OK].
Đăng xuất khỏi máy, sau đó thoát khỏi trình duyệt Web.
Để in dữ liệu trong máy bằng IPP-SSL, người dùng phải cài đặt chứng chỉ trong máy tính. Chọn [Cơ Quan Chứng Nhận Gốc Đáng Tin Cậy] cho vị trí lưu trữ chứng chỉ khi truy cập vào máy bằng IPP.
Để thay đổi [Common Name] của chứng chỉ thiết bị khi sử dụng cổng IPP tiêu chuẩn của Windows, hãy xóa mọi máy in PC đã cấu hình trước đó và cài đặt lại trình điều khiển máy in. Ngoài ra, để thay đổi cài đặt xác thực người dùng (tên người dùng và mật khẩu đăng nhập), hãy xóa mọi máy in PC đã cấu hình trước đó, thay đổi cài đặt xác thực người dùng, sau đó cài đặt lại trình điều khiển máy in.
Trên Web Image Monitor, bạn cũng có thể tải lên các chứng chỉ thiết bị đã tạo. Chứng chỉ thiết bị ở các định dạng tập tin sau được hỗ trợ. Để biết chi tiết về tải lên, xin xem Trợ Giúp Web Image Monitor.
- PKCS#12
- PEM
SSL (Lớp Cổng Bảo Mật)/TLS (Bảo Mật Tầng Giao Vận) là một phương thức mã hóa giao tiếp mạng. SSL/TLS ngăn không cho dữ liệu bị chặn, bẻ khóa hoặc giả mạo.
Luồng giao tiếp được mã hóa SSL/TLS
Máy tính của người dùng yêu cầu chứng chỉ thiết bị SSL/TLS và mã khóa công khai khi truy cập vào máy.
Chứng chỉ thiết bị và mã khóa công khai được gửi từ máy đến máy tính của người dùng.
Mã khóa chia sẻ được tạo trên máy tính được mã hóa bằng mã khóa công khai, được gửi đến máy và sau đó được giải mã bằng mã khóa riêng trong máy.
Mã khóa chia sẻ được sử dụng để mã hóa và giải mã dữ liệu, do đó đạt được khả năng truyền an toàn.
Để bật giao tiếp được mã hóa, hãy cài đặt trước một chứng chỉ thiết bị vào máy.
Để mã hóa giao tiếp bằng SSL/TLS, hãy bật SSL/TLS như sau:
Để kiểm tra xem cấu hình SSL/TLS có được bật hay không, hãy nhập "https://(địa chỉ IP của máy hoặc tên máy chủ)/" vào thanh địa chỉ của trình duyệt Web của bạn để truy cập vào máy này. Nếu thông báo "Không thể hiển thị trang" xuất hiện, hãy kiểm tra cấu hình vì cấu hình SSL/TLS hiện tại không hợp lệ.
Nếu bạn bật SSL/TLS cho IPP (chức năng máy in), dữ liệu đã gửi sẽ được mã hóa, ngăn không cho dữ liệu bị chặn, phân tích hoặc giả mạo.
Bật SSL/TLS
Đăng nhập vào máy với tư cách là quản trị viên mạng từ Web Image Monitor.
Đăng nhập vào Máy với tư cách Quản Trị ViênNhấp vào [Configuration] trên menu [Device Management].
Nhấp vào [SSL/TLS] trong danh mục "Security".
Chọn giao thức để bật giao tiếp được mã hóa trên "SSL/TLS" để chỉ định chi tiết về phương thức giao tiếp.
Permit SSL/TLS Communication: Chọn một trong các chế độ giao tiếp mã hóa bên dưới, rồi chỉ định liệu có kích hoạt HSTS không. Để kích hoạt HSTS, chỉ định thuộc tính tuổi tối đa trong phạm vi từ 0 đến 31.536.000 giây. Khi HSTS được kích hoạt, giao tiếp HTTPS sẽ tự động được sử dụng cho các kết nối từ trình duyệt Web đến máy. Thuộc tính tuổi tối đa được gia hạn mỗi khi Web Image Monitor và HSTS vẫn hoạt động trong cùng khoảng thời gian.
Ciphertext Priority: Thực hiện giao tiếp được mã hóa khi đã tạo chứng chỉ thiết bị. Nếu không thể mã hóa, máy sẽ truyền dữ liệu ở dạng văn bản thuần.
Ciphertext/Cleartext: Thực hiện giao tiếp mã hóa khi kết nối đến máy bằng địa chỉ "https" từ trình duyệt Web. Giao tiếp bằng văn bản rõ ràng khi kết nối đến máy bằng địa chỉ "http".
Ciphertext Only: Chỉ cho phép giao tiếp được mã hóa. Nếu không thể mã hóa vì một lý do nào đó, thì máy không thể giao tiếp. Nếu đúng như vậy, hãy tạm thời thay đổi chế độ giao tiếp thành [Bản Mã/Văn Bản Thuần] trong [Host Interface]
[Network]
[Permit SSL/TLS Comm.], sau đó kiểm tra cài đặt.
SSL/TLS Version: Chỉ định TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 và SSL 3.0 để bật hoặc tắt. Phải bật ít nhất một trong các giao thức này.
Encryption Strength Setting: Chỉ định thuật toán mã hóa để áp dụng cho AES, CHACHA20, 3DES và RC4. Bạn phải chọn ít nhất một hộp kiểm.
KEY EXCHANGE: Chỉ định bật hoặc tắt trao đổi khóa RSA.
DIGEST: Chỉ định bật hay tắt SHA1 DIGEST.
Nhấp vào [OK].
Đăng xuất khỏi máy, sau đó thoát khỏi trình duyệt Web.
Để mã hóa các giao tiếp với máy chủ SMTP, hãy sử dụng quy trình sau để thay đổi [S.Dụng K.Nối Bảo Mật (SSL)] thành [SMTP trên SSL] hoặc [STARTTLS].
Để sử dụng HSTS, phải cài đặt chứng chỉ do cơ quan chứng nhận cấp.
Khi HSTS hoạt động, chọn "Close" cho "Port 443" của "SSL/TLS" trên màn hình "Network Security" khiến cho Web Image Monitor không thể truy cập được.
Tùy thuộc vào các trạng thái bạn chỉ định cho TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0 và SSL 3.0, máy có thể không kết nối được với máy chủ LDAP bên ngoài.
Bật SSL cho kết nối SMTP
Đăng nhập vào máy với tư cách là quản trị viên máy từ Web Image Monitor.
Nhấn [Configuration] từ menu [Device Management].
Nhấp vào [Email] trong danh mục "Device Settings".
Trong "SSL" dưới "SMTP", chọn [SMTP over SSL] hoặc [STARTTLS].
Chọn [SMTP trên SSL] thay đổi số cổng thành 465 và chọn [STARTTLS] thay đổi thành 578.
Khi [T.Động Chọn] được chỉ định, phương pháp mã hóa được xác định dựa trên số cổng.
Khi một số khác 465 hoặc 578 được chỉ định cho số cổng, mã hóa bằng STARTTLS sẽ được thử, nhưng nếu không thành công, giao tiếp sẽ được mã hóa bằng SMTP qua SSL.
Nhấp vào [OK].
Đăng xuất khỏi máy, sau đó thoát khỏi trình duyệt Web.
Khi SSL được bật trong máy chủ SMTP, các e-mail luôn được gửi qua máy chủ SMTP.
Khi giám sát các thiết bị sử dụng Device Manager NX qua mạng, bạn có thể mã hóa dữ liệu được truyền bằng cách sử dụng giao thức SNMPv3.
Đăng nhập vào máy với tư cách là quản trị viên mạng từ Web Image Monitor.
Nhấn [Configuration] từ menu [Device Management].
Nhấp vào [Network Security] trong danh mục "Security".
Trong "Permit SNMPv3 Communication" của "SNMP", nhấp vào [Encryption Only].
Nhấp vào [OK] và thoát khỏi Trình duyệt web.
- Để thay đổi cài đặt được chỉ định trong máy từ Device Manager NX, hãy chỉ định mật khẩu mã hóa cho quản trị viên mạng trong [Program/Change Administrator], rồi đăng ký mật khẩu mã hóa trong tài khoản SNMP của Device Manager NX.
- Nếu cài đặt [Mật Khẩu Mã Hóa] của quản trị viên mạng không được chỉ định, dữ liệu để truyền có thể không được mã hóa hoặc gửi. Để biết chi tiết về việc chỉ định cài đặt Mật Khẩu Mã Hóa của quản trị viên mạng, hãy xem Thêm Quản Trị Viên Tích Hợp hoặc Thay Đổi Các Đặc Quyền.
Bạn có thể mã hóa mật khẩu đăng nhập cho trình điều khiển máy in và mật khẩu để in IPP để tăng tính bảo mật chống bẻ khóa mật khẩu.
Để thực hiện in từ mạng LAN bên trong văn phòng, hãy chỉ định khóa mã hóa trình điều khiển.
Để thực hiện in IPP từ mạng bên ngoài, hãy mã hóa mật khẩu in IPP.
Chỉ Định Khóa Mã Hóa Trình Điều Khiển để Mã Hóa Mật Khẩu
Ngoài ra hãy chỉ định khóa mã hóa trình điều khiển được chỉ định trong máy cho trình điều khiển máy in để mã hóa và giải mã mật khẩu.
Nhấn phím [Menu].
Đăng nhập vào máy với tư cách quản trị viên mạng trên bảng điều khiển.
Chọn [Security Options] rồi nhấn phím [OK].
Chọn [Extended Security] rồi nhấn phím [OK].
Chọn [Driver Encryption Key] rồi nhấn phím [OK].
Nhấn phím chọn bên dưới [Enter].
Nhập khóa mã hóa trình điều khiển rồi nhấn phím [OK].
Nhập khoá mã hoá trình điều khiển sử dụng tối đa 32 ký tự chữ và số.Lặp lại Bước 6 và 7 để nhập lại khóa mã hóa trình điều khiển.
Nhấn phím chọn bên dưới [Logout].
Quản trị viên mạng phải cung cấp cho người dùng khóa mã hóa trình điều khiển được chỉ định trên máy để họ có thể đăng ký trên máy tính của mình.
Đảm bảo nhập cùng một khóa mã hóa trình điều khiển được chỉ định trên máy.
Khi sử dụng trình điều khiển máy in PCL 6, bạn có thể nhập khóa mã hóa trình điều khiển trên [Thuộc Tính Máy In]
tab [Advanced Options]
[User Authentication].
Để biết chi tiết về cách chỉ định khóa mã hóa trên máy in, hãy xem trợ giúp về trình điều khiển.
Mã hóa mật khẩu in IPP
Khi in bằng giao thức IPP, hãy chỉ định phương thức xác thực là [DIGEST] để mã hóa mật khẩu xác thực IPP. Đăng ký tên người dùng và mật khẩu để xác thực IPP riêng biệt từ thông tin người dùng trong Sổ Địa Chỉ.
Đăng nhập vào máy với tư cách là quản trị viên mạng từ Web Image Monitor.
Đăng nhập vào Máy với tư cách Quản Trị ViênNhấp vào [Configuration] trên menu [Device Management].
Nhấp vào [IPP Authentication] trong danh mục "Security".
Chọn [DIGEST] trong "Authentication".
Nhập User Name và Password.
Nhấp vào [On] của "User Authentication Function of Main Unit" để sử dụng thông tin xác thực người dùng được chỉ định trên máy thay vì tên người dùng và mật khẩu để xác thực IPP.
Nhấp vào [OK].
Một thông báo xuất hiện trong khi đang thực hiện cài đặt. Bạn có thể cần đợi một thời gian ngắn trước khi chuyển sang bước tiếp theo.Nhấp vào [OK].
Đăng xuất khỏi máy, sau đó thoát khỏi trình duyệt Web.
Bạn có thể mã hóa giao tiếp giữa máy và máy chủ Trung Tâm Phân Phối Khóa Mã (KDC) khi sử dụng xác thực Kerberos với xác thực Windows hoặc LDAP để bảo mật giao tiếp.
Thuật toán mã hóa được hỗ trợ khác nhau tùy thuộc vào loại máy chủ KDC.
Đăng nhập vào máy với tư cách là quản trị viên máy từ Web Image Monitor.
Đăng nhập vào Máy với tư cách Quản Trị ViênNhấp vào [Configuration] trên menu [Device Management].
Nhấp vào [Kerberos Authentication] trong danh mục "Device Settings".
Chọn thuật toán mã hóa để bật.
Chỉ Heimdal hỗ trợ DES3-CBC-SHA1.
Để sử dụng DES-CBC-MD5 trong hệ điều hành Máy Chủ Windows, hãy bật thuật toán trong cài đặt hệ điều hành.
Nhấp vào [OK].
Đăng xuất khỏi máy, sau đó thoát khỏi trình duyệt Web.