加密网络通讯

要保护通讯信息，必须加密计算机与外部设备之间的通讯。

传输期间，计算机收发的数据可能会被截获、破解或篡改。例如，可以在机器与外部设备或计算机之间传输以下数据：

公司中使用打印机驱动程序打印的文档

会议中使用的扫描文档或电子邮件发送的文档

登录用户名和登录密码

数据加密的方法请见下表。

要加密的数据

加密方法

过程/参考

Web Image Monitor

IPP打印

Windows验证

LDAP验证

电子邮件传送

SSL/TLS

安装设备证书。

安装自签名证书/证书颁发机构颁发的证书
使用SSL/TLS加密传输

电子邮件

S/MIME

安装用户证书。

通过S/MIME加密从机器发送的电子邮件

机器管理数据

SNMPv3

指定加密密码。

通过SNMPv3加密与机器管理软件通讯的数据

打印作业的验证信息

驱动程序加密密钥

IPP验证

指定驱动程序加密密钥

指定IPP验证。

加密打印作业的登录密码

Kerberos验证数据

因KDC服务器而不同

选择加密方式。

加密KDC与机器之间的通讯

重要信息

管理员需要处理证书到期的情况，并在证书到期之前更新证书。
管理员需要检查证书颁发机构是否有效。

安装自签名证书/证书颁发机构颁发的证书

要加密与机器的通讯，请安装设备证书。

可以使用两种类型的设备证书：机器创建的自签名证书和证书颁发机构颁发的证书。当需要更高的可靠性时，请使用证书颁发机构颁发的证书。

安装设备证书插图

从控制面板或Web Image Monitor安装设备证书。
您可以从控制面板仅安装一个自签名证书。要安装多个证书或证书颁发机构颁发的证书，请从Web Image Monitor指定设置。

从控制面板安装自签名证书

在控制面板上以网络管理员身份登录机器。
以管理员身份登录机器。
如果自定义权限管理员已是注册用户，您还可以具备安全权限的自定义权限管理员身份登录机器。
以自定义权限管理员身份登录机器

在主页画面上，按[设置]。

按[系统设置]。

按[对管理员进行设置] [安全] [注册／删除设备证书]。

选择[证书1]并按[注册]。

指定要在证书中包括的信息。

通用名称：输入要创建的设备证书的名称。您必须输入名称。

电子邮件地址：要将设备证书用于 S/MIME、PDF 数字签名或 PDF/A 数字签名，请输入机器管理员的电子邮件地址。

按需指定组织、组织单位和其它项目。

按[确定]。

按[退出]。

按[主页]（），然后从机器注销。

从Web Image Monitor安装自签名证书/证书颁发机构颁发的证书

从Web Image Monitor以网络管理员身份登录机器。
以管理员身份登录机器。

单击[设备管理]菜单上的[配置]。

单击“安全”类别中的[设备证书]。

在“设备证书”画面上，遵循以下说明安装自签名证书或证书颁发机构颁发的证书：
要安装自签名证书

创建和安装自签名证书。

从列表中选择编号以创建自签名证书。

单击[创建]指定必要的设置。

通用名称：输入要创建的设备证书的名称。您必须输入名称。

电子邮件地址：要将设备证书用于 S/MIME、PDF 数字签名或 PDF/A 数字签名，请输入机器管理员的电子邮件地址。

按需指定“组织”、“组织单位”和其它项目。

单击[确定]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。

单击[确定]。
“已安装”在[证书状态]中显示。

要安装证书颁发机构颁发的证书

从证书颁发机构请求一个设备证书，进行安装。所遵循步骤与安装中间证书相同。

从列表中选择一个编号以创建设备证书。

单击[申请]指定必要的设置。

单击[确定]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。

单击[确定]。
“正在申请”在“证书状态”中显示。

向证书颁发机构申请设备证书。

您无法从Web Image Monitor向证书颁发机构申请。申请程序视证书颁发机构而异。有关详细信息，请与证书颁发机构联系。

若需申请，单击“详细信息”图标并使用“证书详细资料”画面上出现的信息。

如果您同时申请多个证书，则可能不会显示颁发位置。当您安装证书时，请务必检查证书目的地和安装步骤。

在证书颁发机构颁发设备证书后，请从“设备证书”画面上的列表中选择颁发的证书的编号，然后单击[安装]。

在条目字段中输入设备证书的内容。

要同时安装中间证书，请也输入中间证书的内容。

如果未安装证书颁发机构颁发的中间证书，网络通讯期间会显示警告消息。当证书颁发机构已颁发了中间证书时，您必须安装中间证书。

单击[确定]。
“已安装”在“证书状态”中显示。

完成安装后，在“证书”上为每个应用程序选择证书。

单击[确定]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。

单击[确定]。

退出机器，然后退出Web浏览器。

要使用IPP-SSL在机器中打印数据，用户必须在计算机中安装证书。通过IPP访问机器时，请为证书保存位置选择[受信任的根证书颁发机构]。
在使用 Windows 标准 IPP 端口时，若要更改设备证书的[通用名称]，请事先删除之前配置的任何 PC 打印机，并重新安装打印机驱动程序。此外，如果还要更改用户验证设置（登录用户名和密码），也请事先删除先前配置的PC打印机，更改用户验证设置，然后重新安装该打印机驱动程序。

使用SSL/TLS加密传输

SSL（安全套接字层）/TLS（传输层安全）是一种加密网络通讯的方法。SSL/TLS可防止数据被截获、破解或篡改。

SSL/TLS加密通讯流程图

用户计算机在访问机器时请求SSL/TLS设备证书和公钥。

设备证书和公共密钥从机器发送到用户计算机。

计算机创建的共享密钥将使用公钥进行加密并发送给机器，然后使用机器中的私钥进行解密。

共享密钥用于数据加密和解密，从而实现安全的传送。

要启用加密通讯，请提前在机器中安装设备证书。

要使用SSL/TLS加密通讯，请按以下所示启用SSL/TLS：

要检查是否启用了SSL/TLS配置，请在Web浏览器的地址栏中输入“https://（机器的IP地址或主机名）/”以访问本机。如果出现消息“无法显示该页”，说明当前SSL/TLS配置无效，请检查配置。
如果为IPP（打印机功能）启用了SSL/TLS，则系统会对发送的数据进行加密，从而防止数据被截取、分析或篡改。

启用SSL/TLS

从Web Image Monitor以网络管理员身份登录机器。
以管理员身份登录机器。

单击[设备管理]菜单上的[配置]。

单击“安全”类别中的[SSL/TLS]。

在“SSL/TLS”上选择要启用加密通信的协议，以指定有关通信方法的详细信息。

允许SSL/TLS通信：选择以下加密通信模式之一，然后指定是否启用 HSTS。要激活 HSTS，还要在 0 到 31,536,000 秒的范围内指定 max-age 属性。

密文优先级: 创建设备证书后执行加密通信。如果不能加密，则机器以明文形式传送数据。

密文/明文：从 Web 浏览器使用“https”地址连接到机器时执行加密通信。连接到机器时，使用“http”地址以明文方式通讯。

仅限密文：仅允许加密通信。如果由于某些原因无法加密，则机器无法通讯。如果是这种情况，在控制面板上按[系统设置] [网络／接口] [通信安全] [允许SSL／TLS通信]，临时将通信模式更改为[密文／明文]，然后检查设置。

SSL/TLS版本：指定 TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0 和 SSL 3.0 以启用或禁用。您必须至少启用其中一种协议。

加密强度设置：指定应用于 AES、CHACHA20、3DES 和 RC4 的加密算法。必须勾选其中一个复选框。

密钥交换：指定是否启用或禁用 RSA 密钥的交换。

DIGEST：指定是启用还是禁用 SHA1 DIGEST。

单击[确定]。

退出机器，然后退出Web浏览器。

要使用与 SMTP 服务器的加密通信，请使用以下步骤将[使用安全连接（SSL）]更改为[开]。

要使用 HSTS，必须安装由证书颁发机构颁发的证书。

启用 HSTS 时，在“网络安全”屏幕上为“SSL/TLS”的“端口443”选择“关闭”会导致Web Image Monitor无法访问。

根据您指定TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0与SSL 3.0的状态，机器可能无法连接到外部LDAP服务器。

为SMTP连接启用SSL

在控制面板上以网络管理员身份登录机器。
以管理员身份登录机器。
如果自定义权限管理员已是注册用户，您还可以具备发送（电子邮件／文件夹）权限的自定义权限管理员身份登录机器。
以自定义权限管理员身份登录机器

在主页画面上，按[设置]。

按[系统设置]。

按[发送（电子邮件／文件夹）] [电子邮件] [SMTP服务器]。

从使用安全连接（SSL）旁边的列表选择[开]。

完成配置后，端口号会更改为 465（SMTP over SSL）。将SMTP over TLS（STARTTLS）用于加密时，将端口号更改为 587。

当您将端口号指定为465和587之外的编号时，按照SMTP服务器中的设置加密通讯。

按[确定]。

按[主页]（），然后从机器注销。

SMTP 服务器中启用了 SSL 时，电子邮件会使用 SMTP 服务器发送。

通过 S/MIME

S/MIME（安全/多用途互联网邮件扩展）是提高电子邮件通讯安全性的加密方法。通过指定S/MIME，您可以发送附有加密文件或电子签名的加密电子邮件。

重要信息

要使用 S/MIME，您必须先指定[系统设置] [发送（电子邮件／文件夹）] [电子邮件] [管理员的电子邮件地址]

加密从机器发送的电子邮件的插图

当您向客户端支持S/MIME的用户和客户端不支持S/MIME的用户发送电子邮件时，仅发送给支持S/MIME的客户端的电子邮件进行加密。
收件人必须使用支持S/MIME的软件。
您可以应用电子邮件加密或电子签名，或者一起使用两种功能。
发送附有电子签名的电子邮件时，无需用户证书。安装设备证书，然后指定要附加到电子邮件的电子签名。有关安装设备证书的详细信息，请参阅安装自签名证书/证书颁发机构颁发的证书。
使用S/MIME时，电子邮件大小会超过普通大小。
有关将 S/MIME 与传真和扫描仪功能结合使用的详细信息，请参阅以下部分：
在发送因特网传真时应用加密和使用签名以增强安全性
在发送扫描文档时将安全设置应用于电子邮件

将用户证书注册到将接收电子邮件的用户。

要发送加密的电子邮件，首先将用户证书注册到将接收电子邮件的用户。

提前准备用户证书。您可以将三种类型的用户证书注册到机器：“DER编码十进制X.509”、“基本64编码X.509”和“PKCS #7证书”。

从Web Image Monitor以用户管理员身份登录机器。
以管理员身份登录机器。
如果自定义权限管理员已是注册用户，您还可以具备通讯簿权限的自定义权限管理员身份登录机器。
以自定义权限管理员身份登录机器

单击[设备管理]菜单上的[通讯簿]。

选择用户以安装证书，然后单击[详细输入]选项卡上的[更改]。

在“电子邮件”类别中，指定必要的设置。

电子邮件地址：输入用户的电子邮件地址。

用户证书：单击[更改]并指定要使用的用户证书。

单击[确定]。

退出机器，然后退出Web浏览器。
使用以下步骤来指定要启用的加密的详细信息。

使用Web Image Monitor将用户证书安装到通讯簿时，如果证书文件包含多个证书，可能会出现一条错误信息。如果出现这种情况，则一次只安装一个证书。

选定的用户证书有效期过了以后，系统将无法再发送加密的消息。选择处于有效期内的证书。

配置加密算法和电子签名的附加

从Web Image Monitor以网络管理员身份登录机器。
以管理员身份登录机器。

单击[设备管理]菜单上的[配置]。

单击“安全”类别中的[S/MIME]。

配置电子邮件加密和电子签名。
加密

加密算法：选择用于使用 S/MIME 加密电子邮件的共享密钥的加密算法。选择用户的电子邮件软件支持的加密算法。

签名

证书状态：显示为 S/MIME 指定的证书。

摘要算法：选择用于电子签名的摘要算法。

当通过扫描仪发送电子邮件时、当通过传真转送时、当通过传真发送电子邮件时、当通过电子邮件发送传真的传送结果时、当转送文件保存在服务器(实用程序)中时：指定在发送或传送电子邮件或文档时是否选择在每个功能中附加电子签名的方法。

操作模式

操作模式：选择检查证书有效期的时机。

执行优先：选择地址时会检查用户证书的有效期。在您[开始]时会检查设备证书的有效期。它不符合国际信息安全评估法规（CC验证），但它能够比选择[安全优先]时更快地响应用户。

安全优先：当您选择地址并在您按[开始]时检查有效期。在符合国际信息安全评估法规（CC认证）的条件下，需要一些时间来响应用户并正确执行。

单击[确定]。

退出机器，然后退出Web浏览器。

将电子签名附加到电子邮件时，管理员的电子邮件用在[来自]中，选定为[发件人]的用户的电子邮件地址用在[回复至]中。

如果证书在传送时有效，但在将电子邮件从邮件服务器提取到客户端计算机之前过期，则可能无法提取该电子邮件。

使用“记忆传送”或在指定时间自动发送电子邮件时，如果在证书有效期之外发生错误，则会以明文向发件人或管理员的电子邮件地址发送电子邮件来报告错误。当启用作业日志收集功能时，您可以在作业日志中查看错误详细信息。
收集日志

如果选定的设备证书已过期，则签名将无法附加到PDF。选择处于有效期内的证书。

可以连接到PDF/A文件的设备证书的数字签名的签名算法是“sha1WithRSA-1024”。

通过SNMPv3加密与机器管理软件通讯的数据

在通过网络使用Device Manager NX监控设备时，可以使用 SNMPv3 协议加密传输的数据。

通过SNMPv3加密与机器管理软件通讯的数据的插图

在控制面板上以网络管理员身份登录机器。
以管理员身份登录机器。
如果自定义权限管理员已是注册用户，您还可以具备网络／接口权限的自定义权限管理员身份登录机器。
以自定义权限管理员身份登录机器
在主页画面上，按[设置]。
按[系统设置]。
按[网络／接口] [允许SNMPv3通信]。
从允许SNMPv3通信旁边的列表选择[仅限加密]。
按[确定]。
按[主页]（），然后从机器注销。

要从Device Manager NX更改机器中指定的设置，请在[编入/更改管理员]中为网络管理员指定加密密码，然后在Device Manager NX的 SNMP 帐户中注册该加密密码。

如果未指定网络管理员的加密密码，则可能无法加密或发送要传送的数据。有关指定网络管理员的加密密码设置的详细信息，请参阅添加内置管理员或更改权限。

加密打印作业的登录密码

您可以加密打印机驱动程序的登录密码以及IPP打印的密码，以提高安全性，防止破解密码。

加密打印作业的登录密码的插图

要从办公室内的LAN执行打印，请指定驱动程序加密密钥。
要从外部网络执行IPP打印，请加密IPP打印的密码。

指定驱动程序加密密钥来加密密码

也将机器中指定的驱动程序加密密钥指定给打印机驱动程序，以加密和解密密码。

在控制面板上以网络管理员身份登录机器。
以管理员身份登录机器。
如果自定义权限管理员已是注册用户，您还可以具备安全权限的自定义权限管理员身份登录机器。
以自定义权限管理员身份登录机器

在主页画面上，按[设置]。

按[系统设置]。

按[对管理员进行设置] [安全] [安全扩展设置]。

按驱动程序加密密钥旁边的[更改]。

输入用作驱动程序加密密钥的密码。

再次输入确认密码的密码。

按两次[确定]。

按[主页]（），然后从机器注销。

网络管理员必须将在机器上指定的驱动程序加密密钥提供给用户，以便他们能够在其计算机上注册密钥。

请确保输入的驱动程序加密密钥与在机器上指定的密钥相同。

使用 PCL 6 打印机驱动程序时，您可以在选项卡 [用户验证]的[高级选项][打印机属性]上输入驱动程序加密密钥。

有关在打印机、TWAIN 或局域网传真上指定加密密钥的详细信息，请参阅驱动程序帮助。

加密IPP打印的密码

使用 IPP 协议进行打印时，请将验证方法指定为[DIGEST]来加密 IPP 验证密码。将IPP认证的用户名和密码与地址簿中的用户信息分开注册。

从Web Image Monitor以网络管理员身份登录机器。
以管理员身份登录机器。

单击[设备管理]菜单上的[配置]。

单击“安全”类别中的[IPP验证]。

在“验证”中选择[DIGEST]。

输入用户名称和密码。

单击“主机的用户验证功能”的[开]以使用机器上指定的验证信息而不是用户名和密码来进行 IPP 验证。

单击[确定]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。

单击[确定]。

退出机器，然后退出Web浏览器。

加密KDC与机器之间的通讯

在使用Windows的Kerberos验证或LDAP验证时，您可以加密机器与密钥分发中心（KDC）服务器之间的通讯，以保护通讯。

根据KDC服务器的类型，受支持的加密算法会有所不同。

从Web Image Monitor以机器管理员身份登录机器。
以管理员身份登录机器。
单击[设备管理]菜单上的[配置]。
单击“设备设置”类别中的[Kerberos验证]。
选择要启用的加密算法。
- 仅Heimdal支持DES3-CBC-SHA1。
- 要在 Windows Server 操作系统中使用 DES-CBC-MD5，请在操作系统设置中将其启用。
单击[确定]。
退出机器，然后退出Web浏览器。

x

QR Code