用户指南IM C2000/C2500/C3000/C3500/C4500/C6000
GS3020c/GS3025c/GS3030c/GS3045c/GS3160c

加密网络通讯

要保护通讯信息,必须加密计算机与外部设备之间的通讯。

传输期间,计算机收发的数据可能会被截获、破解或篡改。例如,可以在机器与外部设备或计算机之间传输以下数据:

  • 公司中使用打印机驱动程序打印的文档

  • 会议中使用的扫描文档或电子邮件发送的文档

  • 登录用户名和登录密码

数据加密的方法请见下表。

要加密的数据

加密方法

本节中的流程/参考

Web Image Monitor

IPP打印

Windows验证

LDAP验证

电子邮件传送

SSL/TLS

安装设备证书。

  1. 安装自签名证书/证书颁发机构颁发的证书

  2. 使用SSL/TLS加密传输

电子邮件

S/MIME

安装用户证书。

  • 通过S/MIME加密从机器发送的电子邮件

机器管理数据

SNMPv3

指定加密密码。

  • 通过SNMPv3加密与机器管理软件通讯的数据

打印作业的验证信息

驱动程序加密密钥

IPP验证

指定驱动程序加密密钥

指定IPP验证。

  • 加密打印作业的登录密码

Kerberos验证数据

因KDC服务器而不同

选择加密方式。

  • 加密KDC与机器之间的通讯

安装自签名证书/证书颁发机构颁发的证书

要加密与机器的通讯,请安装设备证书。

可以使用两种类型的设备证书:机器创建的自签名证书和证书颁发机构颁发的证书。当需要更高的可靠性时,请使用证书颁发机构颁发的证书。

  • 从控制面板或Web Image Monitor安装设备证书。

  • 您可以从控制面板仅安装一个自签名证书。要安装多个证书或证书颁发机构颁发的证书,请从Web Image Monitor指定设置。

从控制面板安装自签名证书

1以网络管理员身份从控制面板中登录机器。

2在“主页”画面上,按[设置]

操作面板画面插图

3在“设置”画面上,按[机器特性]

操作面板画面插图

4[系统设置][管理员工具]选项卡[编入/删除设备证书]显示设置画面。

5[证书1]指定必要的设置。

操作面板画面插图
  • 通用名称:输入要创建的设备证书的名称。您必须输入名称。

  • 电子邮件地址:要使用S/MIME的设备证书、PDF数字签名或PDF/A数字签名,请输入机器管理员的电子邮件地址。

  • 输入“组织”、“组织单位”以及其他必要的项目。

6[确定]

7[退出]

8完成配置后,请按“主页”(操作面板画面插图)。

从Web Image Monitor安装自签名证书/证书颁发机构颁发的证书

1以网络管理员身份从Web Image Monitor登录机器。

2[设备管理]菜单,单击[配置]

web浏览器画面插图

3在“安全”上,单击[设备证书]

4在“设备证书”画面上,遵循以下说明安装自签名证书或证书颁发机构颁发的证书:

web浏览器画面插图

要安装自签名证书

创建和安装自签名证书。

  1. 从列表中选择编号以创建自签名证书。

  2. 单击[创建]以指定必要的设置。

    • 通用名称:输入要创建的设备证书的名称。您必须输入名称。

    • 电子邮件地址:要使用S/MIME的设备证书、PDF数字签名或PDF/A数字签名,请输入机器管理员的电子邮件地址。

    • 输入“组织”、“组织单位”以及其他必要的项目。

  3. 单击[确定]

    “已安装”显示在“证书状态”中。

要安装证书颁发机构颁发的证书

从证书颁发机构请求一个设备证书,进行安装。所遵循步骤与安装中间证书相同。

  1. 从列表中选择一个编号以创建设备证书。

  2. 单击[申请]以指定必要的设置。

  3. 单击[确定]

    “正在申请”显示在“证书状态”中。

  4. 向证书颁发机构申请设备证书。

    • 您无法从Web Image Monitor向证书颁发机构申请。申请程序视证书颁发机构而异。有关详细信息,请与证书颁发机构联系。

    • 若需申请,请单击详情图标操作面板画面插图并使用“证书详情”中显示的信息。

    • 如果您同时申请多个证书,则可能不会显示颁发位置。当您安装证书时,请务必检查证书目的地和安装步骤。

  5. 在证书颁发机构颁发设备证书后,请从“Device Certificate”画面上的列表中选择颁发证书的编号,然后单击[安装]

  6. 在条目字段中输入设备证书的内容。

    • 要同时安装中间证书,请也输入中间证书的内容。

    • 如果未安装证书颁发机构颁发的中间证书,网络通讯期间会显示警告消息。当证书颁发机构已颁发了中间证书时,您必须安装中间证书。

  7. 单击[确定]

    “已安装”显示在“证书状态”中。

5完成安装后,在“证书”上为每种应用选择证书。

web浏览器画面插图

6单击[确定]

7完成配置后,请单击[确定]并退出Web浏览器。

注

  • 要使用IPP-SSL在机器中打印数据,用户必须在计算机中安装证书。通过IPP访问机器时,请为证书保存位置选择“受信任的根证书颁发机构”。

  • 在使用Windows标准IPP端口时,若要更改设备证书的“通用名称”,请事先删除之前配置的PC打印机,并重新安装打印机驱动程序。此外,如果还要更改用户验证设置(登录用户名和密码),也请事先删除先前配置的PC打印机,更改用户验证设置,然后重新安装该打印机驱动程序。

使用SSL/TLS加密传输

SSL(安全套接字层)/TLS(传输层安全)是一种加密网络通讯的方法。SSL/TLS可防止数据被截获、破解或篡改。

SSL/TLS加密通讯流程图

  1. 用户计算机在访问机器时请求SSL/TLS设备证书和公钥。

  2. 设备证书和公共密钥从机器发送到用户计算机。

  3. 计算机创建的共享密钥将使用公钥进行加密并发送给机器,然后使用机器中的私钥进行解密。

  4. 共享密钥用于数据加密和解密,从而实现安全的传送。

  • 要启用加密通讯,请提前在机器中安装设备证书。

  • 要使用SSL/TLS加密通讯,请按以下所示启用SSL/TLS:

启用SSL/TLS

1以网络管理员身份从Web Image Monitor登录机器。

2[设备管理]菜单,单击[配置]

web浏览器画面插图

3在“安全”上,单击[SSL/TLS]

4在“SSL/TLS”上选择可启用加密通讯的协议,以指定有关通讯方式的详细信息。

web浏览器画面插图
  • 允许SSL/TLS通信:选择下面的一种加密通讯模式:

    • 密文优先级:创建了设备证书后执行加密通讯。如果不能加密,则机器以明文形式传送数据。

    • 密文/明文:连接到机器时,使用“https”地址从Web浏览器执行加密通讯。连接到机器时,使用“http”地址以明文方式通讯。

    • 仅限密文:仅允许加密通讯。如果无法加密,机器将不会进行通信。如果由于某些原因无法加密,则机器无法通讯。如果发生这种情况,请在控制面板上选择[系统设置][接口设置]选项卡[允许SSL/TLS通信],将通讯模式临时更改为[密文/明文],然后检查设置。

  • SSL/TLS版本:指定TLS1.2、TLS1.1、TLS1.0和SSL3.0启用或禁用。您必须至少启用其中一种协议。

  • 加密强度设置:指定加密算法以应用到AES、3DES和RC4。必须勾选其中一个复选框。

  • KEY EXCHANGE:指定是启用还是禁用RSA密钥交换。

  • DIGEST:指定是启用还是禁用SHA-1摘要。

5单击[确定]

6完成配置后,请单击[确定]并退出Web浏览器。

要使用SMTP服务器加密通讯,请使用以下步骤将“SSL”更改为[开]

为SMTP连接启用SSL

1以网络管理员身份从控制面板中登录机器。

2在“主页”画面上,按[设置]

操作面板画面插图

3在“设置”画面上,按[机器特性]

操作面板画面插图

4[系统设置][文件转送]选项卡[SMTP服务器]显示设置画面。

5按“使用安全连接(SSL)”的[开]

操作面板画面插图
  • 完成配置后,端口号更改为465(SMTP over SSL)。当使用SMTP over TLS(STARTTLS)进行加密时,更改将端口号更改为587。

  • 当您将端口号指定为465和587之外的编号时,按照SMTP服务器中的设置加密通讯。

6[确定]

7完成配置后,请按“主页”(操作面板画面插图)。

注

  • SMTP服务器中启用了SSL时,始终通过SMTP服务器发送互联网传真。

通过S/MIME加密从机器发送的电子邮件

S/MIME(安全/多用途互联网邮件扩展)是提高电子邮件通讯安全性的加密方法。通过指定S/MIME,您可以发送附有加密文件或电子签名的加密电子邮件。

  • 当您向客户端支持S/MIME的用户和客户端不支持S/MIME的用户发送电子邮件时,仅发送给支持S/MIME的客户端的电子邮件进行加密。

  • 收件人必须使用支持S/MIME的软件。

  • 您可以应用电子邮件加密或电子签名,或者一起使用两种功能。

  • 发送附有电子签名的电子邮件时,无需用户证书。按照本节中“安装自签名证书/证书颁发机构颁发的证书”的说明安装设备证书,然后指定附加到电子邮件的电子签名。

将用户证书注册到将接收电子邮件的用户。

要发送加密的电子邮件,首先将用户证书注册到将接收电子邮件的用户。

提前准备用户证书。您可以将三种类型的用户证书注册到机器:“DER编码十进制X.509”、“基本64编码X.509”和“PKCS #7证书”。

1以用户管理员身份从Web Image Monitor登录机器。

2单击[地址簿]菜单上的[设备管理]

web浏览器画面插图

3选择要安装证书的用户,然后单击[更改]选项卡上的[详细输入]

web浏览器画面插图

4在“电子邮件设置”类别中,指定必需的设置。

web浏览器画面插图
  • 电子邮件地址:输入用户的电子邮件地址。

  • 用户证书:单击[更改]并指定要使用的用户证书。

5单击[确定]

6完成配置后,请单击[确定]并退出Web浏览器。

使用以下步骤来指定要启用的加密的详细信息。

配置加密算法和电子签名的附加

1以网络管理员身份从Web Image Monitor登录机器。

2[设备管理]菜单,单击[配置]

web浏览器画面插图

3在“安全”中,单击[S/MIME]

4配置电子邮件加密和电子签名。

web浏览器画面插图

加密

  • 加密算法:选择用于通过S/MIME加密电子邮件的共享密钥的加密算法。选择用户的电子邮件软件支持的加密算法。

签名

  • 证书状态:显示为S/MIME指定的证书。

  • 摘要算法:选择用于电子签名的摘要算法。

  • 当通过扫描仪发送电子邮件时、当通过传真转送时、当通过传真发送电子邮件时、当通过电子邮件发送传真的传送结果时、当转送文件保存在服务器(实用程序)中时:指定在发送或传输电子邮件或文档时是否在每种功能中选择附加电子签名的方法。

操作模式

  • 操作模式:选择检查证书有效期的时间。

    • 安全优先:在您选择地址或按[开始]时检查有效期。在符合国际信息安全评估法规(CC认证)的条件下,需要一些时间来响应用户并正确执行。

    • 执行优先:在选择地址时检查用户证书的有效期。按[开始]时检查设备证书的有效期。它不符合国际信息安全评估法规(CC验证),但它能够比选择[安全优先]时更快地响应用户。

5单击[确定]

6完成配置后,请单击[确定]并退出Web浏览器。

注

  • 在将电子签名附加到电子邮件,管理员的电子邮件用在“来自”中,选定为“发件人”的用户的电子邮件地址用在“回复至”中。

  • 使用“记忆传送”或在指定时间自动发送电子邮件时,如果在证书有效期之外发生错误,则会以明文向发件人或管理员的电子邮件地址发送电子邮件来报告错误。当启用作业日志收集功能时,您可以在作业日志中查看错误详细信息。

  • 收集日志

通过SNMPv3加密与机器管理软件通讯的数据

在通过网络使用Device Manager NX监控设备时,可以使用SNMPv3协议加密传输的数据。

1以网络管理员身份从控制面板中登录机器。

2在“主页”画面上,按[设置]

操作面板画面插图

3在“设置”画面上,按[机器特性]

操作面板画面插图

4[系统设置][接口设置]选项卡[允许SNMPv3通信]显示设置画面。

5[仅限加密]

操作面板画面插图

6[确定]

7完成配置后,请按“主页”(操作面板画面插图)。

注

  • 要从Device Manager NX更改机器中指定的设置,请在[编入/更改管理员]中为网络管理员指定加密密码,然后将加密密码注册在Device Manager NX的SNMP账户中。

加密打印作业的登录密码

您可以加密打印机驱动程序的登录密码以及IPP打印的密码,以提高安全性,防止破解密码。

  • 要从办公室内的LAN执行打印,请指定驱动程序加密密钥。

  • 要从外部网络执行IPP打印,请加密IPP打印的密码。

指定驱动程序加密密钥来加密密码

也将机器中指定的驱动程序加密密钥指定给打印机驱动程序,以加密和解密密码。

1以网络管理员身份从控制面板中登录机器。

2在“主页”画面上,按[设置]

操作面板画面插图

3在“设置”画面上,按[机器特性]

操作面板画面插图

4[系统设置][管理员工具]选项卡[安全扩展]显示设置画面。

5按“驱动程序加密密钥”所对应的[更改]

操作面板画面插图

6输入要用作驱动程序加密密钥的字符串,然后按[确定]

7[确定]

8完成配置后,请按“主页”(操作面板画面插图)。

9网络管理员必须将在机器上指定的驱动程序加密密钥提供给用户,以便他们能够在其计算机上注册密钥。

  • 请确保输入的驱动程序加密密钥与在机器上指定的密钥相同。

  • 在使用PCL 6打印机驱动程序时,您可以在[打印机属性][高级选项]选项卡上输入驱动程序加密密钥。

加密IPP打印的密码

在使用IPP协议打印时,请将验证方法指定为[DIGEST]以加密IPP验证密码。将IPP认证的用户名和密码与地址簿中的用户信息分开注册。

1以网络管理员身份从Web Image Monitor登录机器。

2[设备管理]菜单,单击[配置]

web浏览器画面插图

3在“安全”类别中,单击[IPP验证]

4选择“DIGEST”上的“验证”。

web浏览器画面插图

5输入用户名和密码。

6单击[确定]

7在完成配置后,退出Web浏览器。

加密KDC与机器之间的通讯

在使用Windows的Kerberos验证或LDAP验证时,您可以加密机器与密钥分发中心(KDC)服务器之间的通讯,以保护通讯。

根据KDC服务器的类型,受支持的加密算法会有所不同。

1以机器管理员身份从Web Image Monitor登录机器。

2[设备管理]菜单,单击[配置]

web浏览器画面插图

3在“Device Settings”类别中,单击[Kerberos认证]

4选择要启用的加密算法。

web浏览器画面插图
  • 仅Heimdal支持DES3-CBC-SHA1。

  • 要在Windows Server 2008 R2及更高版本中使用DES-CBC-MD5,请在操作系统设置中将其启用。

5单击[确定]并退出Web浏览器。