Kryptere nettverkskommunikasjon
Hvis du vil beskytte kommunisert informasjon, må du kryptere informasjon mellom datamaskiner og eksternt utstyr.
Data sendt fra og mottatt av maskinen, kan fanges opp, knekkes eller tukles med under overføring. Følgende data kan for eksempel overføres mellom maskinen og eksterne enheter eller datamaskinen:
Dokumenter skrevet ut i selskapet med skriverdriveren
Brukernavn og passord for innlogging
Se nedenstående tabell for metodene for kryptering av data.
Data som skal krypteres | Krypteringsmetode | Fremgangsmåte/referanse |
|---|---|---|
Web Image Monitor IPP-utskrift Windows-autentisering LDAP-autentisering E-postoverføring | SSL/TLS | Installer et enhetssertifikat.
|
Maskinadministrasjonsdata | SNMPv3 | Angi et krypteringspassord.
|
Autentiseringsinformasjon for utskriftsjobber | Driverkrypteringsnøkkel IPP-autentisering | Angi en driverkrypteringsnøkkel Angi IPP-autentisering.
|
Kerberos-autentiseringsdata | Varierer avhengig av KDC-serveren | Velg en krypteringsmetode.
|
Administratoren må styre utløpsdatoen for sertifikater og fornye sertifikatene før de utløper.
Administratoren må kontrollere at utstederen av sertifikatet er gyldig.
Installere et egetsignert sertifikat / sertifikat utstedt av en sertifiseringsmyndighet
Hvis du vil kryptere kommunikasjon med maskinen, installer du et enhetssertifikat.
To typer enhetssertifikater kan brukes: et egetsignert sertifikat opprettet av maskinen og et sertifikat utstedt av en sertifiseringsmyndighet. Når du trenger høyere pålitelighet, bruker du et sertifikat ustedt av en sertifiseringsmyndighet.
Installer et enhetssertifikat fra kontrollpanelet eller Web Image Monitor.
Du kan installere bare ett egetsignert sertifikat fra kontrollpanelet. Hvis du vil installere flere sertifikater eller et sertifikat utstedt av en sertifiseringsmyndighet, angir du innstillingene fra Web Image Monitor.
Installere et egetsignert sertifikat fra kontrollpanelet
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Innstillinger for administrator]
[Sikkerhet][Registrere/slette enhetssertifikat].
Velg [Sertifikat 1] og trykk [Registrer].
Spesifiser informasjonen som skal inkluderes i sertifikatet.
Felles navn: Skrive inn navnet på enhetssertifikatet som skal opprettes. Du må skrive inn et navn.
E-postadresse: Skriv inn maskinadministratorens e-postadresse.
Angi Organisasjon, Organisasjonsenhet og andre elementer etter behov.
Trykk på [OK].
Trykk på [Avsl.].
Trykk på [Start]-skjermen (
), og logg deretter ut av maskinen.
Installere et egetsignert sertifikat / sertifikat utstedt av en sertifiseringsmyndighet fra Web Image Monitor
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [Enhetssertifikat] i kategorien «Sikkerhet».
På «Enhetssertifikat»-skjermen, installerer du et egetsignert sertifikat eller et sertifikat utstedt av en sertifiseringsmyndighet ved å følge anvisningene nedenfor:
Hvis du vil installere et egetsignert sertifikat
Opprett og installer et egetsignert sertifikat.
Velg nummeret fra listen for å opprette et egetsignert sertifikat.
Klikk på [Opprett] for å angi de nødvendige innstillingene.
Felles navn: Skrive inn navnet på enhetssertifikatet som skal opprettes. Du må skrive inn et navn.
E-postadresse: Skriv inn maskinadministratorens e-postadresse.
Angi [Organisasjon], [Organisasjonsenhet] og andre elementer etter behov.
Klikk på [OK].
En melding vises mens innstillingene utføres. Det kan hende du må vente en liten stund før du går videre til neste trinn.
Klikk på [OK].
«Installert» vises i [Sertifikatstatus].
Slik installerer du et sertifikat utstedt av en sertifiseringsmyndighet
Be om et enhetssertifikat fra en sertifiseringsmyndighet og installer det. Følg de samme trinnene for å installere et mellomliggende sertifikat.
Velg nummeret fra listen for å opprette et enhetessertifikat.
Klikk på [Forespørsel] for å angi de nødvendige innstillingene.
Klikk på [OK].
En melding vises mens innstillingene utføres. Det kan hende du må vente en liten stund før du går videre til neste trinn.
Klikk på [OK].
«Forespør» vises for [Sertifikatstatus].
Søk om et enhetssertifikat hos sertifikatmyndigheten.
Du kan ikke søke til sertifiseringsmyndigheten fra Web Image Monitor. Søknadsprosedyren varierer avhengig av sertifiseringsmyndigheten. Kontakt sertifikatinstansen hvis du vil du ha mer informasjon.
Når det gjelder søknaden, klikker du på Detaljer-ikonet
og bruker informasjonen som vises i [Sertifikatdetaljer]-skjermen.Utstedelsessted vises kanskje ikke dersom du ber om flere sertifikater samtidig. Når du installerer et sertifikat, må du sørge for å kontrollere sertifikatets mål og installeringsfremgangsmåten.
Etter enhtetssertifikatet er utstedt av sertifiseringsmyndigheten, velger du nummeret for det utstedte sertifikatet fra listen på skjermen «Enhetssertifikat» og klikker deretter på [Installer].
Skriv inn innholdet i enhetssertifikatet i innskrivingsfeltene.
Hvis du vil installere det mellomliggende sertifikatet samtidig, skriver du også inn innholdet i det mellomliggende sertifikatet.
Hvis et mellomliggende sertifikat utstedt av en sertifiseringsmyndighet ikke er installert, vises en varselmelding under nettverkskommunikasjon. Når et mellomliggende sertifikat er utstedt av en sertifiseringsmyndighet, må du installere det mellomliggende sertifikatet.
Klikk på [OK].
«Installert» vises under «Sertifikatstatus».
Etter fullføring av installasjonen velger du sertifikatet for hver søknad på [Sertifisering].
Klikk på [OK].
En melding vises mens innstillingene utføres. Det kan hende du må vente en liten stund før du går videre til neste trinn.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Hvis data skal skrives ut på maskinen med IPP-SSL, må brukeren installere et sertifikat på datamaskinen. Velg [Godkjente rotsertifikatmyndigheter] for sertifikatets lagringssted når du gå inn på maskinen via IPP.
Hvis du vil endre [Felles navn] for enhetssertifikatet når du bruker Windows standard IPP-port, sletter du på forhånd enhver tidligere konfigurert PC-skriver og installerer skriverdriveren på nytt. Og hvis du vil endre innstillingene for brukerautentisering (brukernavn og passord for innlogging), kan du først slette eventuelle tidligere konfigurerte PC-skrivere, endre brukerautentiseringsinnstillingene og deretter installere skriverdriveren på nytt.
Kryptere overføring med SSL/TLS
SSL (sikre sikkerhetslag) / TLS (transportlagssikkerhet) er en metode for å kryptere nettverkskommunikasjon. SSL/TLS forhindrer data fra å bli snappet opp, hacket eller tuklet med.
Flyten til SSL/TLS-kryptert kommunikasjon
Brukerens datamaskin krever SSL/TLS-enhetssertifikat og offentlig nøkkel når den skal inn på maskinen.
Enhetssertifikatet og offentlig nøkkel sendes fra maskinen til brukerens datamaskin.
Den delte nøkkelen som opprettes på datamaskinen, krypteres med den offentlige nøkkelen, sendes til maskinen og dekrypteres deretter med den private nøkkelen på maskinen.
Den delte nøkkelen brukes til kryptering og dekryptering av data. Dermed oppnås sikker sending.
Hvis du vil aktivere kryptert kommunikasjon, installerer du først et enhetssertifikat på maskinen.
Hvis du vil kryptere kommunikasjon med bruk av SSL/TLS, aktiverer du SSL/TLS som følger:
Du kontrollerer om SSL/TLS-konfigurering er aktivert eller ikke ved å angi https://(maskinens IP-adresse eller vertsnavn)/ i nettleserens adresselinje for å få tilgang til denne maskinen. Hvis meldingen "Siden kan ikke vises" dukker opp, må du kontrollere konfigurasjonen fordi nåværende SSL/TLS-konfigurasjon er ugyldig.
Dersom du aktiverer SSL/TLS for IPP (skriverfunksjoner), krypteres sendte data for å forhindre at de blir fanget opp, analysert eller manipulert.
Aktivere SSL/TLS
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [SSL/TLS] i kategorien "Sikkerhet".
Velg protokollen for å aktivere kryptert kommunikasjon på «SSL/TLS» for å angi nærmere informasjon om kommunikasjonsmetoden.
Tillat SSL/TLS-kommunikasjon: Velg en av krypteringskommunikasjonsmodusene nedenfor:
Kryptogram-prioritering: Utfører kryptert kommunikasjon når et enhetssertifikat er opprettet. Hvis kryptering ikke er mulig, kommuniserer maskinen data med klar tekst.
Kryptogram/klartekst: Utfører kryptert kommunikasjon når du kobler til maskinen med bruk av «https-adressen» fra en nettleser. Kommuniserer i klar tekst ved tilkobling til maskinen med en «http-adresse».
Kun kryptogram: Tillater bare kryptert kommunikasjon. Hvis kryptgering av en eller annen grunn ikke er mulig, kan ikke maskinen kommunisere. Hvis dette er tilfellet, trykk på [Systeminnstillinger]
[Nettverk/grensesnitt][Kommunikasjonssikkerhet][Tillat SSL/TLS-kommunikasjon] på betjeningspanelet, endre kommunikasjonsmodusen midlertidig til [Kryptogram/klartekst], og kontroller deretter innstillingene.
SSL/TLS-versjon: Angi TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0 for å aktivere eller deaktivere. Minst en av disse protokollene må være aktivert.
Innstilling for krypteringsstyrke: Angi krypteringsalgoritmen som skal anvendes som AES, 3DES og RC4. Du må velge minst én avmerkingsboks.
KEY EXCHANGE: Angi hvorvidt utskifting av RSA-nøkkel skal aktiveres eller deaktiveres.
DIGEST: Angi om SHA1-OPPSUMMERING skal aktiveres eller deaktiveres.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Hvis du krypterer kommunikasjon med SMTP-serveren, bruker du følgende prosedyre for å endre [Bruk sikker tilkobling (SSL)] til [På].
Avhengig av tilstandene du angir for TLS 1.2, TLS 1.1, TLS 1.0 og SSL 3.0, kan det hende at maskinen ikke kan koble til en ekstern LDAP-server.
Aktivere SSL for SMTP-tilkobling
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Send (e-post/mappe)][E-post][SMTP-server].
Fra listen ved siden av Bruk sikker tilkobling (SSL), velg [På].
Etter fullføring av konfigurasjonen endres portnummeret til 465 (SMTP over SSL). Når du bruker SMTP over TLS (STARTTLS) til kryptering, endrer du portnummeret til 587.
Når du angir portnummeret til et annet nummer enn 465 og 587, krypteres kommunikasjon i henhold til innstillingen i SMTP-serveren.
Trykk på [OK].
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Krypteringsdata kommunisert med maskinadministrasjonsprogramvare via SNMPv3
Når overvåkingsenheter bruker Device Manager NX via et nettverk, kan du kryptere de overførte dataene med SNMPv3-protokollen.
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Nettverk/grensesnitt][Tillat SNMPv3-kommunikasjon].
Fra listen ved siden av Tillat SNMPv3-kommunikasjon, velg [Kun kryptering].
Trykk på [OK].
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Hvis du vil endre innstillingene angitt på maskinen fra Device Manager NX, angir du et krypteringspassord for nettverksadministratoren i [Registrere/endre administrator], og registrerer deretter krypteringspassordet i SNMP-kontoen til Device Manager NX.
Hvis nettverksadministratorens [Krypteringspassord]-innstilling ikke er angitt, kan det hende at data for overføring ikke krypteres eller sendes. For informasjon om hvordan du angir innstillingen for nettverksadministratorens krypteringspassord, se avsnittet nedenfor:
Kryptering av innloggingspassord for utskriftsjobber
Du kan kryptere innloggingspassord for skriverdriveren og passordet for IPP-utskrift for å bedre sikkerheten mot hacking av passordet.
Hvis du skal foreta utskrift fra en LAN på kontoret, angir du førerkrypteringsnøkkelen.
Hvis du foretar IPP-utskrift fra et eksternt netverk, krypterer du passordet for IPP-utskrift.
Angi en driverkrypteringsnøkkel for å kryptere passord
Angi den angitte driverkrypteringsnøkkelen på maskinen også til skriverdriveren for å kryptere og dekryptere passord.
Logg på maskinen som nettverksadministratoren i kontrollpanelet.
Trykk på [Innstillinger] på startskjermen.
På innstillingsskjermen, trykk på [Systeminnstillinger].
Trykk på [Innstillinger for administrator][Sikkerhet][Innstillinger for utvidet sikkerhet].
Trykk på [Endre] ved siden av Driverkrypteringsnøkkel.
Skriv inn passordet som skal brukes som driverkrypteringsnøkkel, og trykk deretter på [Done].
Skriv inn passordet for Bekreft passord på nytt, og trykk deretter på [Done].
Trykk på [OK] to ganger.
Trykk på [Start]-skjermen (), og logg deretter ut av maskinen.
Nettverksadministrator må gi brukerne driverkrypteringsnøkkelen som er angitt på maskinen slik at de kan registrere den på sine maskiner.
Sørg for å legge inn den samme driverkrypteringsnøkkelen som den som er angitt på maskinen.
Hvis du bruker en PS3-skriverdriver, kan du angi driverkrypteringsnøkkelen under [Skriveregenskaper]
i fanen [Avanserte alternativer][Brukerautentisering].
Se i hjelpen for driveren hvis du vil ha informasjon om å angi krypteringsnøkkelen på skriverdriveren.
Kryptere passordet for IPP-utskrift
Når du skriver ut med IPP-protokollen, angir du autentiseringsmetoden til [DIGEST] for å kryptere IPP-autentiseringspassord. Registrer brukernavnet og passordet for IPP-autentisering separat fra brukerinformasjonen i adresseboken.
Logg inn på maskinen som nettverksadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [IPP-autentisering] i kategorien Sikkerhet.
Velg [DIGEST] i «Autentisering».
Skriv inn Brukernavn og Passord.
Klikk på [På] for «Bruk hovedenhetens autentifiseringsfunksjon» for å bruke brukerautentiseringsinformasjonen som er angitt på maskinen i stedet for brukernavnet og passordet for IPP-autentisering.
Klikk på [OK].
En melding vises mens innstillingene utføres. Det kan hende du må vente en liten stund før du går videre til neste trinn.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.
Kryptering av kommunikasjon mellom KDC og maskinen
Du kan kryptere kommunikasjon mellom maskinen og nøkkeldistribusjonssenter-serveren (KDC) når du bruker Kerberos-autentisering med Windows- eller LDAP-autentisering for å sikre kommunikasjonen.
Den støttede krypteringsalgoritmen varierer avhengig av typen KDC-server.
Logg inn på maskinen som maskinadministrator fra Web Image Monitor.
Klikk på [Konfigurasjon] på [Enhetsadministrasjon]-menyen.
Klikk på [Kerberos-autentisering] i kategorien «Enhetsinnstillinger».
Velg krypteringsalgoritmen som skal aktiveres.
Kun Heimdal støtter DES3-CBC-SHA1.
Hvis du vil bruke DES-CBC-MD5 i Windows Server-operativsystemet, aktiverer du den i operativsysteminnstillingene.
Klikk på [OK].
Logg ut av maskinen, og avslutt deretter nettleseren.