Šifrování síťové komunikace
Šifrování komunikace mezi počítači a externím vybavením je nezbytné pro ochranu přenášených informací.
Data odesílaná ze zařízení a přijímaná zařízením mohou být během přenosu zachycena, analyzována nebo pozměněna. Mezi tiskovým zařízením a externími zařízeními nebo počítači mohou být přenášena například následující data:
Dokumenty tištěné v rámci společnosti s použitím tiskových ovladačů
Skenované dokumenty odesílané e-mailem pro použití na jednání
Přihlašovací uživatelská jména a hesla
Metody šifrování dat jsou uvedeny v následující tabulce.
Šifrovaná data | Metoda šifrování | Proces/Reference |
|---|---|---|
Web Image Monitor Tisk IPP Ověření Windows Ověření LDAP Přenos e-mailem | SSL/TLS | Nainstalujte certifikát zařízení.
|
S/MIME | Nainstalujte uživatelský certifikát.
| |
Správa zařízení | SNMPv3 | Zadejte šifrovací heslo.
|
Ověřovací informace tiskových úloh | Šifrovací klíč ovladače Ověření IPP | Zadání šifrovacího klíče ovladače Zadejte ověření IPP.
|
Data ověření Kerberos | Závisí na serveru KDC. | Vyberte metodu šifrování.
|
Správce je požádán, aby se staral o datum ukončení platnosti certifikátu a obnovil certifikát před vypršením jeho platnosti.
Správce je požádán, aby zkontroloval, že vystavovatel certifikátu je platný.
Instalace certifikátu s vlastním podpisem / certifikátu vydaného certifikačním úřadem
Chcete-li šifrovat komunikaci se zařízením, zadejte certifikát zařízení.
Lze použít dva typy certifikátů. Certifikát s vlastním podpisem vytvořený zařízením a certifikát vydaný certifikačním úřadem. Potřebujete-li vyšší spolehlivost, použijte certifikát vydaný certifikačním úřadem.
Nainstalujte certifikát zařízení pomocí ovládacího panelu nebo aplikace Web Image Monitor.
Pomocí ovládacího panelu můžete nainstalovat pouze certifikát s vlastním podpisem. Chcete-li nainstalovat více certifikátů nebo certifikát vydaný certifikačním úřadem, zadejte nastavení v aplikaci Web Image Monitor.
Instalace certifikátu s vlastním podpisem pomocí ovládacího panelu
Přihlaste se k zařízení na ovládacím panelu jako správce sítě.
Na domovské obrazovce stiskněte tlačítko [Nastavení].
Na obrazovce Nastavení stiskněte tlačítko [Nastavení systému].
Stiskněte tlačítko [Nastavení správce]
[Zabezpečení][Registrace/odstranění certifikátu zařízení].
Vyberte možnost [Č. certifikátu 1] a stiskněte tlačítko [Zaregistrovat].
Uveďte informace, které chcete do certifikátu zahrnout.
Obecný název: Zadejte název vytvářeného certifikátu. Zadání názvu je povinné.
E-mailová adresa: Chcete-li certifikát zařízení používat pro šifrování S/MIME, digitální podpisy PDF nebo digitální podpisy PDF/A, zadejte e-mailovou adresu správce zařízení.
Podle potřeby zadejte údaje Organizace, Organizační jednotka a další.
Stiskněte [OK].
Stiskněte [Výstup].
Stiskněte tlačítko [Domovská obrazovka] (
) a odhlaste se od zařízení.
Instalace certifikátu s vlastním podpisem / certifikátu vydaného certifikačním úřadem pomocí aplikace Web Image Monitor
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na tlačítko [Konfigurace].
V části [Zabezpečení] klikněte na tlačítko [Certifikát zařízení].
Na obrazovce [Certifikát zařízení] nainstalujte certifikát s vlastním podpisem nebo certifikát vydaný certifikačním úřadem podle následujících pokynů:
Instalace certifikátu s vlastním podpisem
Vytvořte a nainstalujte certifikát s vlastním podpisem.
Výběrem čísla v seznamu vytvořte certifikát s vlastním podpisem.
Klikněte na [Create] a zadejte požadovaná nastavení.
Obecný název: Zadejte název vytvářeného certifikátu. Zadání názvu je povinné.
E-mailová adresa: Chcete-li certifikát zařízení používat pro šifrování S/MIME, digitální podpisy PDF nebo digitální podpisy PDF/A, zadejte e-mailovou adresu správce zařízení.
Podle potřeby zadejte údaje [Organizace], [Organizační jednotka] a další.
Klikněte na [OK].
V poli Instalován se zobrazí [Stav certifikátu].
Instalace certifikátu vydaného certifikačním úřadem
Vyžádejte si certifikát od certifikačního úřadu a nainstalujte jej. S použitím stejných kroků nainstalujte pomocný certifikát.
Výběrem čísla v seznamu vytvořte certifikát zařízení.
Klikněte na [Požadavek] a zadejte požadovaná nastavení.
Klikněte na [OK].
V poli Stav certifikátu se zobrazí [Požadováno].
Požádejte certifikační úřad o certifikát zařízení.
Aplikace Web Image Monitor neumožňuje požádat certifikační úřad. Postup požadavku se liší v závislosti na certifikačním úřadu. Podrobné informace si vyžádejte u certifikačního úřadu.
Pro potřeby požadavku klikněte na ikonu Podrobnosti
a použijte informace, které se objeví na obrazovce [Podrobnosti certifikátu].Pokud požádáte o více certifikátů současně, místo vydání se nemusí zobrazit. Při instalaci certifikátu si ověřte cíl certifikátu a postup instalace.
Jakmile certifikační úřad vydá certifikát zařízení, vyberte číslo vydaného certifikátu v seznamu na obrazovce [Certifikát zařízení] a poté klikněte na možnost [Instalovat].
Zadejte obsah certifikátu zařízení do příslušných polí.
Chcete-li současně nainstalovat pomocný certifikát, zadejte rovněž obsah pomocného certifikátu.
Není-li nainstalován pomocný certifikát vydaný certifikačním úřadem, během síťové komunikace se zobrazí varovná zpráva. Pokud certifikační úřad vydal pomocný certifikát, musíte jej nainstalovat.
Klikněte na [OK].
V poli Instalován se zobrazí [Stav certifikátu].
Po dokončení instalace vyberte certifikát pro jednotlivé aplikace v části [Certifikace].
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.
Chcete-li vytisknout data v zařízení pomocí IPP-SSL, musí uživatel nainstalovat do počítače certifikát. Zvolte záložku [Důvěryhodné kořenové certifikační autority] pro úložné místo certifikátů, když přistupujete k zařízení přes IPP.
Chcete-li změnit [Obecný název] certifikátu zařízení při používání standardního portu IPP systému Windows, odstraňte nejprve všechny dříve instalované tiskárny v počítači a znovu nainstalujte ovladač tiskárny. Pokud chcete změnit nastavení ověření uživatele (přihlašovací uživatelské jméno a heslo), rovněž odstraňte všechny dříve konfigurované tiskárny v počítači, změňte nastavení ověření uživatele a poté znovu nainstalujte ovladač tiskárny.
Šifrování přenosu s použitím SSL/TLS
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) je metoda šifrování síťové komunikace. SSL/TLS zabraňuje možnému zachycování, analýze nebo pozměňování dat.
Průběh šifrované komunikace SSL/TLS
Počítač uživatele si při přístupu k zařízení vyžádá jeho certifikát SSL/TLS a veřejný klíč.
Certifikát zařízení a veřejný klíč jsou odeslány z tiskárny do počítače uživatele.
Sdílený klíč vytvořený na počítači je zašifrován pomocí veřejného klíče, odeslán do zařízení a poté dešifrován pomocí soukromého klíče v zařízení.
Sdílený klíč se používá pro šifrování a dešifrování dat pro dosažení zabezpečeného přenosu.
Chcete-li aktivovat šifrovanou komunikaci, nejprve nainstalujte do zařízení jeho certifikát.
Chcete-li šifrovat komunikaci pomocí SSL/TLS, aktivujte SSL/TLS následovně:
Chcete-li ověřit, zda je konfigurace SSL aktivována, do adresového řádku webového prohlížeče zadejte adresu „https://(IP adresa tiskárny nebo název hostitele)/“, čímž získáte přístup k tiskárně. Pokud se zobrazí zpráva „Stránku nelze zobrazit“, zkontrolujte konfiguraci, protože stávající konfigurace SSL/TLS je neplatná.
Pokud povolíte SSL/TLS pro IPP (funkce tiskárny), odesílaná data budou zašifrována, což zabrání jejich zachycení, analyzování nebo manipulaci s nimi.
Aktivace SSL/TLS
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na tlačítko [Konfigurace].
Klikněte na tlačítko [SSL/TLS] v části [Zabezpečení].
Výběrem protokolu [SSL/TLS] aktivujte šifrovanou komunikaci a zadejte podrobnosti metody komunikace.
Povolit komunikaci SSL/TLS: Vyberte jeden z následujících režimů šifrované komunikace:
Priorita šifr. textu: Šifruje komunikaci, pokud byl vytvořen certifikát zařízení. Pokud šifrování není možné, zařízení přenáší data jako nešifrovaný text.
Šifrovaný text/Prostý text: Komunikuje šifrovaně při připojení k zařízení pomocí adresy „https“ ve webovém prohlížeči. Komunikuje pomocí nešifrovaného textu při připojení k zařízení pomocí adresy „http“.
Jen šifrovaný text: Povolí pouze zašifrovanou komunikaci. Pokud z nějakého důvodu není šifrování možné, zařízení nemůže komunikovat. Jedná-li se o tento případ, stisknutím tlačítka [Systémová nastavení]
[Síťové rozhraní][Zabezpečení komunikace][Povolit SSL/TLS komunikaci] na ovládacím panelu dočasně změňte metodu komunikace na [Šifr.text/Prostý text] a zkontrolujte nastavení.
Verze SSL/TLS: Zvolte TLS 1.2, TLS 1.1, TLS 1.0 nebo SSL 3.0 pro zapnutí nebo vypnutí. Nejméně jeden z těchto protokolů musí být aktivován.
Nastavení síly šifrování: Zadejte šifrovací algoritmus pro AES, 3DES a RC4. Musíte vybrat aspoň jedno zaškrtávací pole.
KEY EXCHANGE: Zadejte, zda povolit nebo zakázat výměnu klíče RSA.
DIGEST: Specify whether to enable or disable SHA-1 DIGEST.
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.
Chcete-li šifrovat komunikaci s SMTP serverem, použijte následující postup a změňte nastavení [Použít zabezpečené připojení (SSL)] na [Zapnuto].
V závislosti na stavech, které zvolíte pro TLS 1.2, TLS 1.1, TLS 1.0 nebo SSL 3.0, nemusí být zařízení schopné se připojit k externímu serveru LDAP.
Povolení SSL pro připojení SMTP
Přihlaste se k zařízení na ovládacím panelu jako správce sítě.
Na domovské obrazovce stiskněte tlačítko [Nastavení].
Na obrazovce Nastavení stiskněte tlačítko [Nastavení systému].
Stiskněte tlačítko [Odeslat (e-mail/složku)][E-mail][Server SMTP].
Ze seznamu vedle položky Použít zabezpečení připojení (SSL) vyberte možnost [Zapnuto].
Po dokončení komunikace se číslo portu změní na 465 (SMTP over SSL). Při použití SMTP over TLS (STARTTLS) pro šifrování změňte číslo portu na 587.
Když zadáte jiné číslo portu než 465 a 587, komunikace bude šifrována podle nastavení na serveru SMTP.
Stiskněte [OK].
Stiskněte tlačítko [Domovská obrazovka] () a odhlaste se od zařízení.
Když je SSL povoleno na serveru SMTP, internetový fax se vždy odešle pomocí serveru SMTP.
Šifrování e-mailů odesílaných ze zařízení pomocí S/MIME
S/MIME je šifrovací metoda pro zvýšení zabezpečení emailové komunikace. Zadáním S/MIME můžete odeslat zašifrovaný e-mail a připojit zašifrovaný soubor nebo elektronický podpis.
Pokud chcete použít S/MIME, nejdříve musíte zadat [Systémová nastavení]
[Odeslat (E-mail / Složka) ][E-mail][E-mailová adresa správce]
Když odešlete e-maily jak uživatelům, jejichž e-mailoví klienti podporují S/MIME, tak uživatelům, jejichž klienti toto šifrování nepodporují, budou zašifrovány pouze e-maily klientům podporujícím S/MIME.
Příjemce musí používat software, který podporuje S/MIME.
Můžete použít šifrování e-mailu, elektronický podpis nebo obě tyto funkce současně.
Při odesílání emailu s připojeným elektronickým podpisem nepotřebujete uživatelský certifikát. Nainstalujte certifikát zařízení a poté zadejte elektronický podpis připojovaný k e-mailu. Podrobnosti o instalaci certifikátu zařízení, viz text níže:
Instalace certifikátu s vlastním podpisem / certifikátu vydaného certifikačním úřadem
Při použití S/MIME je velikost e-mailu větší než obyčejně.
Podrobnosti o použití S/MIME a skeneru, viz text níže:
„Použití nastavení zabezpečení pro e-mail při odesílání naskenovaného dokumentu“, uživatelský návod (plná verze) v angličtině
Podrobnosti o použití S/MIME a faxu, viz text níže:
„Použití šifrování a podpisu pro zvýšení zabezpečení při odesílání internetového faxu“, uživatelský návod (plná verze) v angličtině
Registrace uživatelského certifikátu příjemci e-mailů
Chcete-li odeslat zašifrovaný e-mail, nejprve zaregistrujte příjemci e-mailu uživatelský certifikát.
Předem připravte uživatelský certifikát. Zařízení umožňuje registrovat tři typy uživatelských certifikátů: „DER Encoded Binary X.509“, „Base 64 Encoded X.509“ a „PKCS #7 certificate“.
Přihlaste se k zařízení jako správce uživatelů pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na [Adresář].
Vyberte uživatele, kterému chcete nainstalovat certifikát, a poté klikněte na možnost [Změnit] na kartě [Podrobné zadání].
V kategorii [E-mail] zadejte požadovaná nastavení.
E-mailová adresa: Zadejte emailovou adresu uživatele.
Uživatelský certifikát: Klikněte na možnost [Změnit] a zadejte certifikát, který se má použít.
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.
Pomocí následujícího postupu zadejte podrobnosti o šifrování, které chcete povolit.
Pokud instalujete certifikát uživatele do adresáře pomocí aplikace Web Image Monitor, může se zobrazit chybová zpráva, když soubor certifikátu obsahuje více certifikátů. Jestliže se tato zpráva zobrazí, nainstalujte certifikáty postupně jeden po druhém.
Jakmile vyprší období platnosti vybraného uživatelského certifikátu, už nebudou odesílané zprávy šifrované. Vyberte certifikát s platným obdobím.
Konfigurace šifrovacího algoritmu a připojení elektronického podpisu
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na tlačítko [Konfigurace].
Klikněte na tlačítko [S/MIME] v kategorii [Zabezpečení].
Nakonfigurujte šifrování e-mailu a elektronický podpis.
Šifrování
Šifrovací algoritmus: Vyberte šifrovací algoritmus sdíleného klíče používaný k šifrování e-mailů pomocí S/MIME. Vyberte šifrovací algoritmus podporovaný e-mailovým softwarem uživatele.
Podpis
Stav certifikátu: Je zobrazen certifikát zadaný pro S/MIME.
Algoritmus Digest: Vyberte algoritmus Digest pro elektronický podpis.
Při odesílání e-mailu skenerem, Při přenášení faxem, Při odesílání e-mailu faxem, Při e-mailování výsledků vysílání faxem, Při přenášení souborů uložených na dokumentovém serveru (Nástroj): Zadejte, zda vybrat metodu pro připojení elektronického podpisu v každé funkci při odesílání nebo přenosu e-mailů či dokumentů.
Operační režim
Operační režim: Vyberte načasování kontroly období platnosti certifikátu.
Priorita výkonu: Období platnosti uživatelského certifikátu se kontroluje, když vyberete adresu. Období platnosti certifikátu zařízení se kontroluje, když stisknete tlačítko [Start]. Nesplňuje mezinárodní předpisy pro hodnocení zabezpečení informací (ověření CC), ale odpověď uživateli je rychlejší než při volbě [Priorita zabezpečení].
Priorita zabezpečení: Období platnosti se kontroluje, když vyberete adresu a když stisknete tlačítko [Start]. Odpověď uživateli a náležité zpracování za podmínek splňujících mezinárodní předpisy hodnocení zabezpečení informací (ověření CC) může určitou dobu trvat.
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.
Při připojování elektronického podpisu k emailu, v poli [Od] je použita emailová adresa správce, a emailová adresa uživatele vybraná jako [Odesílatel] se použije do pole [Odpovědět komu].
Pokud byl certifikát platný před zahájením přenosu, ale jeho platnost při příjmu e-mailu z poštovního serveru do klientského počítače vypršela, e-mail nebude doručen.
Pokud se vyskytne chyba mimo dobu platnosti certifikátu při automatickém odeslání e-mailu S/MIME pomocí Vysílání (přenosu) z paměti, nebo v zadanou dobu, chyba bude ohlášena e-mailem v textové podobě, který bude odeslán odesilateli nebo správci. Když je zapnuta funkce sběru protokolů úloh, můžete zobrazit podrobnosti o chybě v protokolu úlohy.
Uživatelská příručka (úplná verze) v angličtině
Pokud vybranému certifikátu zařízení vyprší platnost, nebude možné připojit podpis k PDF. Vyberte certifikát s platným obdobím.
Podpisový algoritmus digitálního podpisu zařízení, který lze připojit k souborům PDF/A je „sha1WithRSA-1024“.
Šifrování dat při komunikaci se softwarem pro správu zařízení pomocí SNMPv3
Při monitorování zařízení pomocí nástroje Device Manager NX přes síť můžete přenášená data šifrovat pomocí protokolu SNMPv3.
Přihlaste se k zařízení na ovládacím panelu jako správce sítě.
Na domovské obrazovce stiskněte tlačítko [Nastavení].
Na obrazovce Nastavení stiskněte tlačítko [Nastavení systému].
Stiskněte tlačítko [Síť/rozhraní][Povolit komunikaci SNMPv3].
Ze seznamu vedle položky Povolit komunikaci SNMPv3 vyberte možnost [Pouze šifrování].
Stiskněte [OK].
Stiskněte tlačítko [Domovská obrazovka] () a odhlaste se od zařízení.
Chcete-li změnit nastavení zařízení pomocí nástroje Device Manager NX, zadejte pro správce sítě šifrovací heslo v nabídce [Naprogramovat/změnit správce], a poté zaregistrujte šifrovací heslo pro účet SNMP nástroje Device Manager NX.
Není-li pro správce sítě nastaveno [Šifrovací heslo], data pro přenos nemohou být zašifrována ani odeslána. Podrobnosti ohledně nastavení šifrovacího hesla správce sítě najdete v následující části:
Šifrování přihlašovacího hesla tiskových úloh
Můžete zašifrovat přihlašovací heslo k ovladači tiskárny a heslo pro tisk IPP a zvýšit tak zabezpečení vůči prolomení hesla.
Chcete-li tiskout ze sítě LAN uvnitř kanceláře, zadejte šifrovací klíč ovladače.
Chcete-li tisknout pomocí IPP z externí sítě, zašifrujte heslo pro IPP tisk.
Zadání šifrovacího klíče ovladače k šifrování hesel
Zadejte šifrovací klíč ovladače nastavený v zařízení také do tiskového ovladače pro šifrování a dešifrování hesla.
Přihlaste se k zařízení na ovládacím panelu jako správce sítě.
Na domovské obrazovce stiskněte tlačítko [Nastavení].
Na obrazovce Nastavení stiskněte tlačítko [Nastavení systému].
Stiskněte tlačítko [Nastavení správce][Zabezpečení][Rozšířené nastavení zabezpečení].
Stiskněte tlačítko [Změnit] vedle položky Šifrovací klíč ovladače.
Zadejte heslo, které chcete používat jako šifrovací klíč ovladače, a stiskněte tlačítko [Hotovo].
Znovu zadejte heslo do pole Potvrdit heslo a stiskněte tlačítko [Hotovo].
Stiskněte dvakrát [OK].
Stiskněte tlačítko [Domovská obrazovka] () a odhlaste se od zařízení.
Správce sítě musí poskytnout uživatelům šifrovací klíč ovladače zadaný v zařízení, aby jej mohli zaregistrovat ve svých počítačích.
Zkontrolujte, že je zadán stejný šifrovací klíč jako na zařízení.
Při použití ovladače tiskárny PCL 6 v poli [Vlastnosti tiskárny] na kartě
[Pokročilé volby] zadejte šifrovací klíč ovladače.
Tiskovou úlohu můžete také zašifrovat sami. Podrobnosti najdete v následující části.
„Ukládání dokumentů k tisku na zařízení“, uživatelská příručka (úplná verze) v angličtině
Podrobnosti ohledně zadávání šifrovacího klíče pro ovladač tiskárny nebo ovladač TWAIN viz nápověda k příslušnému ovladači.
Podrobnosti ohledně zadávání šifrovacího klíče v ovladači LAN-fax viz nápověda k ovladači LAN-fax.
Zašifrování hesla pro tisk IPP
Při tisku pomocí protokolu IPP zadejte metodu ověření do pole [DIGEST] pro šifrování hesla ověření IPP. Zaregistrujte uživatelské jméno a heslo pro ověření IPP odděleně od informací o uživateli v adresáři.
Přihlaste se k zařízení jako správce sítě pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na tlačítko [Konfigurace].
Klepněte na položku [Ověření IPP] v části [Zabezpečení].
Vyberte možnost [DIGEST] v nabídce [Ověření].
Zadejte Uživatelské jméno a Heslo.
Pokud chcete použít uživatelské ověřovací údaje zadané v počítači namísto uživatelského jména a hesla, vyberte možnost [Zapnuto] v nastavení „Funkce ověřování uživatele hlavní jednotky“.
Tuto funkci můžete použít v zařízeních s nainstalovanou aplikací RICOH Always Current Technology v1.2 nebo novější.
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.
Šifrování komunikace mezi KDC a zařízením
Můžete šifrovat komunikaci mezi zařízením a KDC serverem při použití ověření Kerberos v prostředí Windows nebo ověření LDAP a zabezpečit tak komunikaci.
Podporovaný šifrovací algoritmus se liší v závislosti na typu KDC serveru.
Přihlaste se k zařízení jako jeho správce pomocí aplikace Web Image Monitor.
V nabídce [Správa zařízení] klikněte na tlačítko [Konfigurace].
Stiskněte tlačítko [Ověření Kerberos] v kategorii [Nastavení zařízení].
Vyberte algoritmus šifrování, který se má povolit.
Pouze Heimdal podporuje DES3-CBC-SHA1.
Chcete-li použít DES-CBC-MD5 v prostředí Windows Server 2008 R2 nebo novějším, povolte jej v nastavení operačního systému.
Klikněte na [OK].
Odhlaste se od zařízení a vypněte webový prohlížeč.