Crypter la communication réseau
Pour protéger les informations communiquées, il est nécessaire de crypter la communication entre les ordinateurs et les équipements externes.
Les données envoyées depuis l'appareil et reçues par celle-ci peuvent être interceptées, piratées ou modifiées durant la transmission. Par exemple, les données suivantes peuvent être transmises entre l'appareil et des dispositifs externes ou l'ordinateur :
Documents imprimés par l'entreprise à l'aide du pilote d'impression
Nom d'utilisateur et mot de passe
Consultez le tableau ci-dessous pour connaître les méthodes de cryptage des données.
Données à crypter | Méthode de cryptage | Processus/Référence |
|---|---|---|
Web Image Monitor Impression IPP Authentification Windows Authentification LDAP Transmission e-mail | SSL/TLS | Installez un certificat de périphérique.
|
Données de gestion de la machine | SNMPv3 | Indiquez un mot de passe de cryptage.
|
Informations d'authentification des tâches d'impression | Clé de cryptage du pilote Authentification IPP | Spécification d'une clé de cryptage du pilote Définissiez l'authentification IPP.
|
Données d'authentification Kerberos | Varie en fonction du serveur KDC | Sélectionnez une méthode de cryptage.
|
L'administrateur doit gérer l'expiration des certificats et les renouveler avant que ceux-ci n'expirent.
L'administrateur doit vérifier que l'émetteur du certificat est valide.
Installer un certificat autosigné/un certificat émis par une autorité de certification
Pour crypter la communication avec l'appareil, installez un certificat de périphérique.
Il est possible d'utiliser deux types de certificat de périphérique : un certificat autosigné créé par la machine, ou un certificat émis par une autorité de certification. Pour plus de fiabilité, utilisez un certificat émis par une autorité de certification.
Installez un certificat de dispositif depuis le panneau de contrôle ou Web Image Monitor.
Vous ne pouvez installer qu'un seul certificat autosigné depuis le panneau de contrôle. Pour installer plusieurs certificats ou un certificat émis par une autorité de certification, réglez les paramètres dans Web Image Monitor.
Installer un certificat autosigné depuis le panneau de contrôle
Connectez-vous à l'appareil en tant qu'administrateur réseau sur le panneau de commande.
Sur l'écran Accueil, appuyez sur [Paramètres].
Sur l'écran Paramètres, appuyez sur [Paramètres système].
Appuyez sur [Paramètres pour Administrateur]
[Sécurité][Progr. / Suppr. certificat de périphérique].
Sélectionnez [Certificat 1] et appuyez sur [S'enregistrer].
Précisez les informations à inclure dans le certificat.
Nom usuel : saisissez le nom du certificat de périphérique à créer. Vous devez saisir un nom.
Adresse e-mail : saisissez l'adresse e-mail de l'administrateur de l'appareil.
Indiquez Organisation, Unité organisationnelle et d'autres éléments si nécessaire.
Appuyez sur [OK].
Appuyez sur [Sortie].
Appuyez sur [Accueil] (
), puis déconnectez-vous de l'appareil.
Installer un certificat autosigné/émis par une autorité de certification depuis Web Image Monitor
Connectez-vous en tant qu'administrateur réseau depuis Web Image Monitor.
Cliquez sur [Configuration] dans le menu [Gestion de périphérique].
Cliquez sur [Certificat de périphérique] dans la catégorie « Sécurité ».
Sur l'écran « Certificat de périphérique », installez un certificat autosigné ou un certificat émis par une autorité de certification en suivant les instructions ci-dessous :
Pour installer un certificat autosigné.
Créez et installez un certificat autosigné.
Sélectionnez un numéro dans la liste pour créer un certificat autosigné.
Cliquez sur [Créer] pour définir les paramètres nécessaires.
Nom usuel : saisissez le nom du certificat de périphérique à créer. Vous devez saisir un nom.
Adresse e-mail : saisissez l'adresse e-mail de l'administrateur de l'appareil.
Indiquez [Organisation], [Unité organisationnelle] et d'autres éléments si nécessaire.
Cliquez sur [OK].
Un message apparaît lors de la configuration. Vous devrez peut-être attendre un peu avant de passer à l'étape suivante.
Cliquez sur [OK].
« Installé » s'affiche dans [État du certificat].
Pour installer un certificat émis par une autorité de certification.
Demandez un certificat de périphérique auprès d'une autorité de certification et installez-le. Suivez les mêmes étapes pour installer un certificat intermédiaire.
Sélectionnez le numéro dans la liste pour créer un certificat de périphérique.
Cliquez sur [Demande] pour définir les paramètres nécessaires.
Cliquez sur [OK].
Un message apparaît lors de la configuration. Vous devrez peut-être attendre un peu avant de passer à l'étape suivante.
Cliquez sur [OK].
« Demande en cours » s'affiche dans [État du certificat].
Appliquez à l'autorité de certification pour le certificat de périphérique.
Vous ne pouvez pas appliquer à l'autorité de certification depuis Web Image Monitor. La procédure d'application dépend de l'autorité de certification. Pour plus d'informations, contactez l'autorité de certification.
Pour l'application, cliquez sur l'icône des détails
et utilisez les informations qui apparaissent sur l'écran [Détails du certificat].Si vous demandez plusieurs certificats simultanément, il est possible que l'emplacement d'émission n'apparaisse pas. Lorsque vous installez un certificat, veillez à bien vérifier la destination du certificat et la procédure d'installation.
Une fois le certificat de dispositif émis par l'autorité de certification, sélectionnez le numéro du certificat émis dans liste affichée sur l'écran « Certificat de périphérique », et cliquez sur [Installer].
Saisissez le contenu du certificat de dispositif dans les champs de saisie.
Pour installer simultanément le certificat intermédiaire, saisissez également le contenu du certificat intermédiaire.
Si un certificat intermédiaire émis par une autorité de certification n'est pas installé, un message d'alerte s'affiche durant la communication réseau. Lorsqu'un certificat intermédiaire est émis par une autorité de certification, vous devez installer le certificat intermédiaire.
Cliquez sur [OK].
« Installé » s'affiche sous « État du certificat ».
Une fois l'installation terminée, sélectionnez le certificat pour chaque application dans [Certification].
Cliquez sur [OK].
Un message apparaît lors de la configuration. Vous devrez peut-être attendre un peu avant de passer à l'étape suivante.
Cliquez sur [OK].
Déconnectez-vous de l'appareil, puis quittez le navigateur Web.
Pour imprimer des données présentes sur l'appareil à l'aide de IPP-SSL, l'utilisateur doit installer un certificat sur l'ordinateur. Sélectionnez [Autorités de certification racines de confiance] pour l'emplacement du lieu du magasin de certificats lorsque vous accédez à l'appareil par IPP.
Pour modifier [Nom usuel] du certificat de périphérique si vous utilisez le port IPP standard Windows, supprimez toute imprimante PC configurée précédemment, et réinstallez le pilote d'impression. De même, pour modifier les paramètres d'authentification utilisateur (nom d'utilisateur et mot de passe), supprimez toute imprimante préalablement configurée sur l'ordinateur, modifiez les paramètres d'authentification et réinstallez ensuite le pilote d'impression.
Crypter la transmission via SSL/TLS
SSL (Secure Sockets Layer) /TLS (Transport Layer Security) est une méthode de cryptage des communications réseau. La méthode SSL/TLS permet aux données de ne pas être interceptées, piratées ou modifiées.
Flux des communications cryptées SSL/TLS
L'ordinateur de l'utilisateur demande le certificat de l'appareil SSL/TLS et la clé publique lors de l'accès à l'appareil.
Le certificat du périphérique et la clé publique sont envoyés à partir de l'appareil vers l'ordinateur de l'utilisateur.
La clé partagée créée avec l'ordinateur est cryptée en utilisant la clé publique, envoyée à l'appareil, puis décryptée en utilisant la clé privée de l'appareil.
La clé partagée est utilisée pour le cryptage et le décryptage de données, garantissant ainsi une transmission sécurisée.
Pour activer la communication cryptée, installez au préalable un certification de périphérique sur l'appareil.
Pour crypter les communications via la méthode SSL/TLS, activez SSL/TLS en procédant comme suit :
Pour vérifier l'activation de la configuration SSL/TLS, saisissez « https://(l'adresse IP ou le nom d'hôte de l'appareil)/ » dans la barre d'adresse de votre navigateur Web pour accéder à cet appareil. Si le message « La page ne peut pas être affichée » s'affiche, vérifiez la configuration car la configuration SSL/TLS actuelle n'est pas valide.
Si vous activez SSL/TLS pour IPP (fonctions d'impression), les données envoyées sont cryptées, évitant ainsi toute interception, analyse ou altération.
Activation de SSL/TLS
Connectez-vous en tant qu'administrateur réseau depuis Web Image Monitor.
Cliquez sur [Configuration] dans le menu [Gestion de périphérique].
Cliquez sur [SSL/TLS] dans la catégorie « Sécurité ».
Sélectionnez le protocole pour activer la communication cryptée dans « SSL/TLS » pour définir les détails relatifs à la méthode de communication.
Permettre communication SSL/TLS : sélectionnez l'un des modes de communication cryptée ci-dessous.
Priorité cryptogramme : crypte la communication lorsqu'un certificat de périphérique a été créé. Si le cryptage est impossible, l'appareil communique les données en texte clair.
Cryptogramme/Texte en clair : crypte la communication lorsque vous vous connectez à la machine via une adresse « https » depuis un navigateur Web. Communique en texte clair lorsque vous vous connectez à l'appareil via une adresse « http ».
Cryptogramme uniquement : n'autorise que les communications cryptées. Si le cryptage est impossible pour une raison quelconque, l'appareil ne peut pas communiquer. Dans ce cas, appuyez sur [Paramètres système]
[Réseau/Interface][Sécurité communication][Permettre communication SSL/TLS] dans le panneau de commande, définissez temporairement le mode de communication sur [Cryptogramme / Texte en clair], puis vérifiez les paramètres.
Version SSL/TLS : Indiquez TLS 1.2, TLS 1.1, TLS 1.0 et SSL 3.0 pour les activer ou les désactiver. Au moins un de ces protocoles doit être activé.
Paramètre de force de cryptage : indiquez l'algorithme de cryptage à appliquer à AES, 3DES et RC4. Vous devez cocher au moins une case.
KEY EXCHANGE : indiquez s'il est nécessaire d'activer ou de désactiver le transmission de la clé RSA.
DIGEST : indiquez s'il est nécessaire d'activer ou de désactiver SHA1 DIGEST.
Cliquez sur [OK].
Déconnectez-vous de l'appareil, puis quittez le navigateur Web.
Pour crypter les communications avec le serveur SMTP, utilisez la procédure suivante pour définir [Utiliser une connexion sécurisée (SSL)] sur [ON].
En fonction des états indiqués pour TLS 1.2, TLS 1.1, TLS 1.0 et SSL 3.0, l'appareil est susceptible de ne pas se connecter à un serveur LDAP externe.
Activer SSL pour la connexion SMTP
Connectez-vous à l'appareil en tant qu'administrateur réseau sur le panneau de commande.
Sur l'écran Accueil, appuyez sur [Paramètres].
Sur l'écran Paramètres, appuyez sur [Paramètres système].
Appuyez sur [Envoyer (E-mail/dossier)][E-mail][Serveur SMTP].
Dans la liste en regard de Utiliser connexion sécurisée (SSL), sélectionnez [ON].
Une fois la configuration terminée, le numéro de port passe à 465 (SMTP over SSL). Si vous utilisez SMTP over TLS (STARTTLS) pour le cryptage, définissez le numéro de port sur 587.
Si vous définissez le numéro de port sur un numéro autre que 465 ou 587, la communication est cryptée selon le paramètre sur le serveur SMTP.
Appuyez sur [OK].
Appuyez sur [Accueil] (), puis déconnectez-vous de l'appareil.
Crypter les données communiquées avec le logiciel de gestion de l'appareil via SNMPv3
Lorsque vous surveillez des dispositifs à l'aide de Device Manager NX via un réseau, vous pouvez crypter les données transmises en utilisant le protocole SNMPv3.
Connectez-vous à l'appareil en tant qu'administrateur réseau sur le panneau de commande.
Sur l'écran Accueil, appuyez sur [Paramètres].
Sur l'écran Paramètres, appuyez sur [Paramètres système].
Appuyez sur [Réseau/Interface][Permettre communication SNMPv3].
Dans la liste en regard de Permettre communication SNMPv3, sélectionnez [Cryptage uniquement].
Appuyez sur [OK].
Appuyez sur [Accueil] (), puis déconnectez-vous de l'appareil.
Pour modifier les paramètres définis dans l'appareil depuis Device Manager NX, indiquez un mot de passe de cryptage pour l'administrateur réseau dans [Enregistrer/Modifier administrateur], et enregistrez ce mot de passe dans le compte SNMP de Device Manager NX.
Si le paramètre [Mot de passe cryptage] de l'administrateur réseau n'est pas défini, les données de transmission ne seront peut-être pas cryptées ou envoyées. Pour plus d'informations sur la définition du mot de passe de cryptage de l'administrateur réseau, voir la section ci-dessous :
Crypter le mot de passe des tâches d'impression
Vous pouvez crypter le mot de passe du pilote d'impression et de l'impression IPP afin d'assurer une protection renforcée contre les tentatives de piratage.
Pour effectuer une impression depuis un réseau LAN au sein d'un bureau, indiquez la clé de cryptage du pilote.
Pour effectuer une impression IPP depuis un réseau externe, cryptez le mot de passe de l'impression IPP.
Indiquer une clé de cryptage du pilote pour le cryptage des mots de passe
Indiquez la clé de cryptage du pilote spécifiée dans l'appareil, notamment pour le pilote d'impression afin de crypter et de décrypter les mots de passe.
Connectez-vous à l'appareil en tant qu'administrateur réseau sur le panneau de commande.
Sur l'écran Accueil, appuyez sur [Paramètres].
Sur l'écran Paramètres, appuyez sur [Paramètres système].
Appuyez sur [Paramètres pour Administrateur][Sécurité][Paramètres de sécurité avancée].
Appuyez sur [Modifier] en regard de Clé de cryptage du pilote.
Saisissez le mot de passe à utiliser en tant que clé de cryptage du pilote, puis appuyez sur [Terminé]
Saisissez à nouveau le mot de passe pour Confirmer le mot de passe, puis appuyez sur [Terminé].
Appuyez sur [OK] deux fois.
Appuyez sur [Accueil] (), puis déconnectez-vous de l'appareil.
L'administrateur réseau doit donner aux utilisateurs la clé de cryptage du pilote définie sur l'appareil de sorte qu'ils puissent l'enregistrer sur leurs ordinateurs.
Assurez-vous de bien saisir la même clé de cryptage du pilote que celle spécifiée sur l'appareil.
Lorsque vous utilisez un pilote d'impression PS3, vous pouvez entrer la clé de cryptage du pilote dans [Propriétés de l'imprimante]
l'onglet [Options avancées][Authentification utilisateur].
Pour plus d'informations sur la spécification de la clé de cryptage sur le pilote d'impression, consultez l'aide du pilote.
Crypter le mot de passe d'une impression IPP
Si vous effectuez une impression via le protocole IPP, indiquez la méthode d'identification pour [DIGEST] afin de crypter le mot de passe d'authentification IPP. Enregistrez le nom d'utilisateur et le mot de passe pour l'authentification séparément des informations utilisateur dans le Carnet d'adresses.
Connectez-vous en tant qu'administrateur réseau depuis Web Image Monitor.
Cliquez sur [Configuration] dans le menu [Gestion de périphérique].
Cliquez sur [Authentification IPP] dans la catégorie « Sécurité ».
Sélectionnez [DIGEST] dans « Authentification ».
Saisissez Nom utilisateur et Mot de passe.
Cliquez sur [ON] de « Fonction Authentification utilisateur de l'unité principale » pour utiliser les informations d'authentification utilisateur spécifiées sur l'appareil au lieu du nom et du mode passe utilisateur à des fins d'authentification IPP.
Cliquez sur [OK].
Un message apparaît lors de la configuration. Vous devrez peut-être attendre un peu avant de passer à l'étape suivante.
Cliquez sur [OK].
Déconnectez-vous de l'appareil, puis quittez le navigateur Web
Crypter la communication entre KDC et l'appareil
Vous pouvez chiffrer les communications entre l'appareil et le serveur du centre de distribution de clés (KDC) lorsque vous utilisez l'authentification Kerberos avec Windows, ou l'authentification LDAP afin de protéger les communications.
L'algorithme de cryptage pris en charge varie selon le type de serveur KDC.
Connectez-vous en tant qu'administrateur appareil depuis Web Image Monitor.
Cliquez sur [Configuration] dans le menu [Gestion de périphérique].
Cliquez sur [Authentification Kerberos] dans la catégorie « Paramètres périphérique ».
Sélectionnez l'algorithme de cryptage à activer.
Seul Heimdal prend en charge DES3-CBC-SHA1.
Pour utiliser DES-CBC-MD5 dans le système d'exploitation Windows Server, activez-le dans les paramètres du système d'exploitation.
Cliquez sur [OK].
Déconnectez-vous de l'appareil, puis quittez le navigateur Web.