Szyfrowanie komunikacji sieciowej
Dla zapewnienia bezpieczeństwa przesyłanych informacji niezbędne jest szyfrowanie komunikacji między komputerami i wyposażeniem zewnętrznym.
Dane przesyłane do i z urządzenia mogą zostać przechwycone, uszkodzone lub zmanipulowane podczas transmisji. Między urządzeniem a komputerem lub sprzętem zewnętrznym mogą być na przykład przekazywane następujące dane:
Dokumenty wydrukowane w firmie przy użyciu sterownika drukarki.
Nazwy użytkownika i hasła logowania.
Dostępne metody szyfrowania przedstawiono w poniższej tabeli.
Dane do szyfrowania | Metoda szyfrowania | Proces/Odnośnik |
|---|---|---|
Web Image Monitor Drukowanie IPP Autoryzacja Windows Autoryzacja LDAP Nadawanie poczty elektronicznej | SSL/TLS | Zainstaluj certyfikat urządzenia.
|
Dane dotyczące zarządzania urządzeniem | SNMPv3 | Określ hasło szyfrowania.
|
Dane dotyczące uwierzytelniania zadań drukowania | Klucz szyfrowania sterownika Uwierzytelnianie IPP | Określanie klucza szyfrowania sterownika Określ uwierzytelnianie IPP.
|
Dane uwierzytelniania Kerberos | Zależy od serwera KDC | Wybierz metodę szyfrowania.
|
Zadaniem administratora jest kontrola nad wygaśnięciem certyfikatów oraz odnowa certyfikatów, zanim upłynie ich data ważności.
Zadaniem administratora jest sprawdzenie, czy wystawca certyfikatu jest do tego upoważniony.
Instalowanie certyfikatu samopodpisanego lub wystawionego przez urząd certyfikacji
Aby zaszyfrować komunikację z urządzeniem, zainstaluj certyfikat urządzenia.
Istnieje możliwość korzystania z dwóch rodzajów certyfikatów: samopodpisanych (utworzonych przez urządzenie) oraz wystawionych przez urząd certyfikacji. Jeśli jest potrzebny wyższy poziom wiarygodności, należy użyć certyfikatu z urzędu certyfikacji.
Certyfikat urządzenia można zainstalować przy użyciu panelu operacyjnego lub programu Web Image Monitor.
Z poziomu panelu operacyjnego można zainstalować tylko jeden certyfikat samopodpisany. Aby zainstalować wiele certyfikatów bądź certyfikat wystawiony przez urząd certyfikacji, należy określić ustawienia w programie Web Image Monitor.
Instalowanie certyfikatu samopodpisanego z poziomu panelu operacyjnego
Zaloguj się na urządzeniu jako administrator sieci, korzystając z panelu operacyjnego.
Na ekranie głównym naciśnij [Ustawienia].
Na ekranie Ustawienia naciśnij opcję [Ustawienia systemu].
Press [Ustawienia dla administratora]
[Zabezpieczenie][Zarejestruj/Usuń certyfikat urządzenia].
Wybierz [Certyfikat 1] i naciśnij [Zarejestruj].
Podaj informacje, które mają zostać ujęte w certyfikacie.
Nazwa ogólna: Wprowadź nazwę tworzonego certyfikatu urządzenia. Nazwa jest wymagana.
Adres e-mail: Wprowadź adres e-mail administratora urządzenia.
Wypełnij w miarę potrzeby pozycje Organizacja, Jednostka organizacyjna i inne.
Naciśnij przycisk [OK].
Naciśnij przycisk [Wyjście].
Naciśnij [Strona główna] (
), a następnie wyloguj się z urządzenia.
Instalowanie certyfikatu samopodpisanego lub wystawionego przez urząd certyfikacji za pomocą programu Web Image Monitor
Zaloguj się do urządzenia jako administrator sieci z poziomu programu Web Image Monitor.
Kliknij opcję [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij opcję [Certyfikat urządzenia] w kategorii „Ochrona”.
Na ekranie Certyfikat urządzenia” zainstaluj certyfikat samopodpisany lub wystawiony przez urząd certyfikacji, wykonując poniższe czynności:
Instalowanie certyfikatu samopodpisanego
Utwórz i zainstaluj certyfikat samopodpisany.
Wybierz numer z listy, aby utworzyć certyfikat samopodpisany.
Kliknij opcję [Utwórz], aby określić wymagane ustawienia.
Nazwa ogólna: Wprowadź nazwę tworzonego certyfikatu urządzenia. Nazwa jest wymagana.
Adres e-mail: Wprowadź adres e-mail administratora urządzenia.
W miarę potrzeby podaj informacje w polach [Organizacja], [Jednostka organizacyjna] i inne.
Kliknij przycisk [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.
Kliknij przycisk [OK].
„Zainstalowana” wyświetli się w polu [Status certyfikatu].
Instalowanie certyfikatu wystawionego przez urząd certyfikacji
Wystąp do urzędu certyfikacji o certyfikat urządzenia i zainstaluj go. Wykonaj te same kroki w celu zainstalowania certyfikatu pośredniego.
Wybierz numer z listy, aby utworzyć certyfikat urządzenia.
Kliknij opcję [Żądanie], aby określić wymagane ustawienia.
Kliknij przycisk [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.
Kliknij przycisk [OK].
„Żądający” wyświetli się w polu [Status certyfikatu].
Złóż wniosek do urzędu certyfikacji o wystawienie certyfikatu urządzenia.
Wniosku o certyfikat nie można wysłać do urzędu certyfikacji z poziomu programu Web Image Monitor. Procedura składania wniosku o certyfikat po utworzeniu certyfikatu jest uzależniona od urzędu certyfikacji. Szczegółowe informacje - proszę skontaktować się z urzędem certyfikacji.
Na potrzeby aplikacji należy kliknąć ikonę szczegółów
i skorzystać z informacji podanych na ekranie [Szczegóły certyfikatu]W przypadku występowania jednocześnie o wiele certyfikatów miejsce wystawienia może się w nich nie pojawić. Instalując te certyfikaty, sprawdź miejsce docelowe certyfikatu i procedurę instalacji.
Po wystawieniu certyfikatu urządzenia przez urząd certyfikacji wybierz numer wystawionego certyfikatu z listy na ekranie „Certyfikat urządzenia” i kliknij opcję [Zainstaluj].
Wpisz zawartość certyfikatu urządzenia w polach wprowadzania.
Aby zainstalować w tym samym czasie certyfikat pośredni, wprowadź również zawartość tego certyfikatu.
Jeśli certyfikat pośredni wystawiony przez urząd certyfikacji nie zostanie zainstalowany, podczas komunikacji sieciowej będzie wyświetlany komunikat ostrzeżenia. W przypadku wystawienia certyfikatu pośredniego p[rzez urząd certyfikacji należy zainstalować ten certyfikat.
Kliknij przycisk [OK].
„Zainstalowana” wyświetli się w polu „Status certyfikatu”.
Po zakończeniu instalacji wybierz certyfikat dla każdej aplikacji w obszarze [Certyfikacja].
Kliknij przycisk [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.
Kliknij przycisk [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
W celu wydrukowania danych na urządzeniu przy użyciu IPP-SSL użytkownik musi zainstalować na komputerze certyfikat. Uzyskując dostęp do urządzenia przez IPP, wybierz [Zaufane główne urzędy certyfikacji] w celu wskazania lokalizacji certyfikatu.
Aby zmienić ustawienie w polu [Nazwa ogólna] certyfikatu urządzenia w przypadku korzystania za standardowego portu IPP systemu Windows, należy najpierw usunąć wszystkie skonfigurowane wcześniej drukarki PC, a następnie ponownie zainstalować sterownik drukarki. Aby zmienić ustawienia uwierzytelniania użytkownika (nazwę użytkownika i hasło logowania), należy najpierw usunąć wszystkie skonfigurowane wcześniej drukarki PC, a następnie ponownie zainstalować sterownik drukarki.
Szyfrowanie transmisji przy użyciu protokołu SSL/TLS
Standard SSL (Secure Sockets Layer) /TLS (Transport Layer Security) umożliwia szyfrowanie komunikacji w sieci. Użycie protokołu SSL/TLS zapobiega przechwyceniu, uszkodzeniu i modyfikacji danych.
Przepływ szyfrowanej komunikacji SSL/TLS
Komputer użytkownika zgłasza żądanie certyfikatu SSL/TLS urządzenia oraz klucza publicznego przy dostępie do urządzenia.
Certyfikat urządzenia i klucz publiczny są przesyłane z urządzenia do komputera użytkownika.
Klucz współdzielony utworzony na komputerze jest szyfrowany przy użyciu klucza publicznego, wysyłany do urządzenia, a następnie odszyfrowywany przy użyciu klucza prywatnego w urządzeniu.
Klucz współdzielony jest używany do szyfrowania i odszyfrowywania danych, dzięki czemu transmisja jest bezpieczna.
Aby włączyć szyfrowaną komunikację, należy uprzednio zainstalować certyfikat urządzenia na urządzeniu.
W celu szyfrowania komunikacji za pomocą protokołu SSL/TLS, należy go włączyć w następujący sposób:
Aby sprawdzić, czy konfiguracja SSL/TLS została włączona, na pasku adresu przeglądarki wprowadź "https://(adres IP urządzenia lub nazwa hosta)/", aby połączyć się z urządzeniem. Jeśli pojawi się komunikat "Nie można wyświetlić strony", sprawdź konfigurację, ponieważ aktualna konfiguracja SSL/TLS jest nieprawidłowa.
Jeśli włączone zostanie szyfrowanie SSL/TLS połączeń IPP (funkcje drukarki), wysyłane dane będą szyfrowane, co zapobiegnie ich przechwyceniu, analizie i modyfikacji.
Włączanie SSL/TLS
Zaloguj się do urządzenia jako administrator sieci z poziomu programu Web Image Monitor.
Kliknij opcję [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij [SSL/TLS] w kategorii „Ochrona”.
Wybierz protokół w celu włączenia szyfrowanej komunikacji w „SSL/TLS”, aby określić szczegóły metody komunikacji.
Pozwól na komunikację SSL/TLS: Wybierz jeden z poniższych trybów szyfrowanej komunikacji:
Priorytet szyfrowania tekstu: Realizuje szyfrowaną komunikację, gdy został utworzony certyfikat urządzenia. Jeśli szyfrowanie nie jest możliwe, urządzenie przekazuje dane w postaci zwykłego tekstu.
Szyfrowany/Jawny tekst: Realizuje szyfrowaną komunikację w przypadku łączenia się z urządzeniem za pomocą adresu „https” w przeglądarce. W przypadku nawiązania połączenia z urządzeniem przy użyciu adresu „http” komunikacja jest realizowana przy użyciu zwykłego tekstu.
Tylko szyfrowany tekst: Zezwala tylko na komunikację szyfrowaną. Jeśli z jakiegoś powodu szyfrowanie nie jest możliwe, urządzenie nie może realizować komunikacji. W takim przypadku należy wybrać opcję [Ustawienia systemu]
[Sieć/Interfejs][Bezpieczeństwo komunikacji][Pozwól na komunikację SSL/TLS] na panelu operacyjnym, tymczasowo zmienić tryb komunikacji na [Szyfrowany/Jawny tekst], a następnie sprawdzić ustawienia.
Wersja SSL/TLS: Określ TLS 1.2, TLS 1.1, TLS 1.0 oraz SSL 3.0 do aktywacji lub dezaktywacji. Co najmniej jeden protokół musi być włączony.
Ustawienia szyfrowania: Umożliwia określenie stosowanego algorytmu szyfrowania AES, 3DES i RC4. Musisz wybrać przynajmniej jedno pole wyboru.
KEY EXCHANGE: Umożliwia włączenie lub wyłączenie wymiany klucza RSA.
DIGEST: Umożliwia włącznie lub wyłączenie funkcji SHA1 DIGEST.
Kliknij przycisk [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
Aby zaszyfrować komunikację z serwerem SMTP, należy użyć poniższej procedury w celu zmiany ustawienia [Użyj bezpiecznego połączenia (SSL)] na [Włączone].
Zależnie od stanów wskazanych dla TLS 1.2, TLS 1.1, TLS 1.0 i SSL 3.0, urządzenie może nie być w stanie połączyć się z zewnętrznym serwerem LDAP.
Włączanie połączeń SSL dla SMTP
Zaloguj się na urządzeniu jako administrator sieci, korzystając z panelu operacyjnego.
Na ekranie głównym naciśnij [Ustawienia].
Na ekranie Ustawienia naciśnij opcję [Ustawienia systemu].
Naciśnij [Wyślij (E-mail/Folder)][E-mail][Serwer SMTP].
Na liście obok Użyj bezpiecznego połączenia (SSL), wybierz [Włączone].
Po zakończeniu konfigurowania numer portu zmieni się na 465 (SMTP over SSL). W przypadku korzystania z protokołu SMTP over TLS (STARTTLS) na potrzeby szyfrowania należy zmienić numer portu na 587.
Określenie numeru portu innego niż 465 i 587 spowoduje szyfrowanie komunikacji zgodnie z ustawieniem na serwerze SMTP.
Naciśnij przycisk [OK].
Naciśnij [Strona główna] (), a następnie wyloguj się z urządzenia.
Szyfrowanie danych przekazywanych do oprogramowania zarządzającego urządzeniem za pomocą protokołu SNMPv3
W przypadku monitorowania urządzeń za pomocą programu Device Manager NX przez sieć przesyłane dane można szyfrować przy użyciu protokołu SNMPv3.
Zaloguj się na urządzeniu jako administrator sieci, korzystając z panelu operacyjnego.
Na ekranie głównym naciśnij [Ustawienia].
Na ekranie Ustawienia naciśnij opcję [Ustawienia systemu].
Naciśnij [Sieć/Interfejs][Pozwól na komunikację SNMPv3].
Na liście obok Pozwól na komunikację SNMPv3 zaznacz [Tylko szyfrowanie].
Naciśnij przycisk [OK].
Naciśnij [Strona główna] (), a następnie wyloguj się z urządzenia.
Aby zmienić ustawienia zdefiniowane na urządzeniu z poziomu programu Device Manager NX, określ hasło szyfrowania dla administratora sieci w obszarze [Zarejestruj/ Zmień administratora], a następnie zarejestruj hasło szyfrowania w ramach konta SNMP w programie Device Manager NX.
Jeśli nie określono ustawienia [Hasło szyfrowania] administratora sieci, dane mogą być przesyłane bez szyfrowania lub mogą nie być przesyłane. Aby uzyskać szczegółowe informacje na temat określania ustawienia Hasło szyfrowania dla administratora sieci, patrz poniższy punkt:
Szyfrowanie hasła logowania zadań drukowania
Hasło logowania sterownika drukarki oraz hasło drukowania IPP można zaszyfrować w celu lepszego zabezpieczenia tych haseł przed złamaniem.
Aby przeprowadzić drukowanie z poziomu biurowej sieci LAN, należy określić klucz szyfrowania sterownika.
Aby przeprowadzić drukowanie IPP z poziomu sieci zewnętrznej, należy zaszyfrować hasło drukowania IPP.
Określanie klucza szyfrowania sterownika na potrzeby szyfrowania haseł
Klucz szyfrowania sterownika ustawiony na urządzeniu należy również określić w sterowniku drukarki w celu umożliwienia szyfrowania i odszyfrowywania haseł.
Zaloguj się na urządzeniu jako administrator sieci, korzystając z panelu operacyjnego.
Na ekranie głównym naciśnij [Ustawienia].
Na ekranie Ustawienia naciśnij opcję [Ustawienia systemu].
Naciśnij [Ustawienia dla administratora][Zabezpieczenie][Ustawienia rozszerzonych zabezpieczeń].
Naciśnij opcję [Zmień] obok pozycji Klucz szyfrowania sterownika.
Wpisz hasło, które będzie kluczem do szyfrowania sterownika, a następnie naciśnij [Gotowe].
Wprowadź hasło ponownie na potrzeby opcji Potwierdź hasło i naciśnij [Gotowe].
Naciśnij dwukrotnie przycisk [OK]
Naciśnij [Strona główna] (), a następnie wyloguj się z urządzenia.
Administrator sieci musi podać użytkownikom klucz szyfrowania sterownika określony w urządzeniu, aby mogli zarejestrować go w swoich komputerach.
Upewnij się, że że wprowadzany klucz szyfrowania sterownika jest taki sam, jak klucz określony w urządzeniu.
W przypadku korzystania ze sterownika drukarki PS3 klucz szyfrowania sterownika można wprowadzić w obszarze [Właściwości drukarki]
karta [Opcje zaawansowane][Autoryzacja użytkownika].
Szczegółowe informacje dotyczące określania klucza szyfrowania w sterowniku drukarki można znaleźć w pomocy sterownika.
Szyfrowanie hasła drukowania IPP
W przypadku drukowania przy użyciu protokołu IPP określ metodę uwierzytelniania [DIGEST] w celu szyfrowania hasła uwierzytelniania IPP. Nazwę użytkownika i hasło na potrzeby uwierzytelniania IPP należy zarejestrować oddzielnie od danych użytkownika w Książce adresowej.
Zaloguj się do urządzenia jako administrator sieci z poziomu programu Web Image Monitor.
Kliknij opcję [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij opcję [Autoryzacja IPP] w kategorii „Ochrona”.
Wybierz opcję [DIGEST] w pozycji „Uwierzytelnienie”.
Wprowadź wartości w polach Nazwa użytkownika i Hasło.
Kliknij [Włączone] dla "Funkcja autoryzacji użytkownika zespołu głównego", aby użyć informacji autoryzacji użytkownika podanych na urządzeniu zamiast nazwy i hasła użytkownika do uwierzytelniania IPP.
Kliknij przycisk [OK].
Podczas wprowadzania ustawień zostanie wyświetlony komunikat. Może być konieczne odczekanie chwili przed przejściem do następnego kroku.
Kliknij przycisk [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.
Szyfrowanie komunikacji między KDC a urządzeniem
Komunikację między urządzeniem a serwerem centrum dystrybucji kluczy (Key Distribution Center, KDC) można zabezpieczyć szyfrowaniem w przypadku korzystania z uwierzytelniania Kerberos w połączeniu z uwierzytelnianiem Windows lub LDAP.
Obsługiwany algorytm szyfrowania różni się w zależności od typu serwera KDC.
Zaloguj się jako administrator urządzenia z poziomu programu Web Image Monitor.
Kliknij opcję [Konfiguracja] w menu [Zarządzanie urządzeniem].
Kliknij opcję [Autoryzacja Kerberos] w kategorii „Ustawienia urządzenia”.
Wybierz algorytm szyfrowania, który chcesz włączyć.
Jedynie rozwiązanie Heimdal obsługuje standard DES3-CBC-SHA1.
Aby skorzystać ze standardu DES-CBC-MD5 w systemie operacyjnym Windows, należy je włączyć w ustawieniach systemu operacyjnego.
Kliknij przycisk [OK].
Wyloguj się z urządzenia, a następnie opuść przeglądarkę sieciową.