Einleitung
Zertifikate sind ein entscheidender Aspekt zur Aufrechterhaltung der Druckersicherheit und gewährleisten eine sichere Kommunikation zwischen dem Drucker und anderen Netzwerkressourcen. WXP unterstützt zwei Richtlinieneinstellungen, CA Certificate und Identity Certificate, mit denen Sie die Zertifikate Ihrer Organisation in Ihre Druckerflotte hochladen können, um sicherzustellen, dass sie ordnungsgemäß gesichert sind.
Zielgruppe
Druckeradministratoren , die Richtlinien zur Durchsetzung definieren und verwalten.
Installation und Konfiguration eines CA-Zertifikats über Policy
Um Ihre CA-Zertifikatseinstellung in einer Richtlinie zu konfigurieren:
Erstellen oder ändern Sie eine druckerspezifische oder eine Druckergruppenrichtlinie.
Auf der Seite "Richtlinien auswählen " finden und wählen Sie CA-Zertifikat und/oder ID-Zertifikat.
Klicken Sie auf Nächsten. Die Seite "Set Options" erscheint.
Klicken Sie in der Einstellungsliste auf CA-Zertifikat , um es zu erweitern und seine konfigurierbaren Eigenschaften anzuzeigen.
Ändern Sie die Bewertungs- und Sanierungsoptionen links im Panel nach Bedarf.
Im Einstellungs-Attribute-Menü rechts im Panel geben Sie die Optionen für Zertifikatsüberschreibung an. Sie können wählen:
Überschreiben Sie ein bestehendes Zertifikat mit den von der Richtlinie festgelegten Zertifikaten.
Fügen Sie die in dieser Richtlinie angegebenen Zertifikate der bereits auf dem Drucker vorhandenen Zertifikate hinzu.
Fügen Sie das Zertifikat, das Sie hochladen möchten, allen Druckern hinzu, die von dieser Richtlinie betroffen sind:
Klicken Sie auf Hinzufügen.
Besuchen Sie den Ort, an dem Ihr Zertifikat gespeichert ist, und wählen Sie das Zertifikat aus.
Klicken Sie auf Öffnen.
Um zusätzliche Zertifikate hinzuzufügen, wiederholen Sie Schritt 6 bei Bedarf.
Klicken Sie auf Erstellen/Speichern.
Installation und Konfiguration eines Identitätszertifikats über die Druckerrichtlinie
Um Ihre ID-Zertifikatseinstellung in einer Richtlinie zu konfigurieren:
Erstellen oder ändern Sie eine druckerspezifische oder eine Druckergruppenrichtlinie.
Auf der Seite "Richtlinieneinstellungen auswählen " suchen und wählen Sie Identitätszertifikat.
Klicken Sie auf Nächsten. Die Seite "Set Options" erscheint.
Klicken Sie in der Einstellungsliste auf Identitätszertifikat , um es zu erweitern und konfigurierbare Eigenschaften anzuzeigen.
Ändern Sie die Bewertungs- und Sanierungsoptionen links im Panel nach Bedarf.
Geben Sie die Einstellungen für Unterschreibungsanfragen an. Dazu gehören identifizierende Informationen für das Zertifikat und die Organisation, die den Drucker besitzt, sowie die vom Zertifikat verwendeten Verschlüsselungsschlüssel und Algorithmuswerte:
Schauplatz | Beschreibung |
Quelle des Gemeinnamen (CN) | Ob der vollständig qualifizierte Domainname (FQDN) des eingebetteten Webservers des Druckers oder die IP-Adresse des Druckers als Common Name (CN)-Wert verwendet wird. |
Organisationsname (O) | Die Organisation, die den Drucker verwaltet. |
Organisationseinheit (OU) | Die Organisationseinheit, die für die Verwaltung des Druckers verantwortlich ist. |
Stadt (L) | Die Stadt, in der sich die Organisation befindet. |
State (ST) | Der Bundesstaat, in dem sich die Organisation befindet. |
Land (C) | Der zweibuchstabige Ländercode, der das Land repräsentiert, in dem sich die Organisation befindet. |
Stellen Sie den Subjekt-Alternativnamen (SANs) in die Zertifikate ein | Wenn das überprüft ist, kannst du eine alternative CN für das Zertifikat definieren. Wählen Sie eine der folgenden Optionen:
Wenn Sie diese Option wählen, müssen Sie den Benutzernamen und die Domain des Benutzernamens eingeben, die zur Identifikation des Druckers während der Authentifizierung verwendet werden. Die Einbindung von SANs für das Zertifikat stellt sicher, dass das Zertifikat unter verschiedenen Namen oder Adressen zugänglich ist, was das Zertifikatsmanagement vereinfacht und Vertrauensfehler reduziert. Wenn Sie dieses ID-Zertifikat für 802.1x-Authentifizierung (kabelgebunden) oder 802.1-Authentifizierung (drahtlos) verwenden möchten, sollten Sie diese Einstellung aktivieren und... |
Überprüfen Sie SANs in Policy Assessments | Überprüfen Sie diese Einstellung, damit WXP bewertet, ob die im ID-Zertifikat angegebenen SANs mit den in der Certificate Signing Request (CSR) angegebenen SANs übereinstimmen. |
Verschlüsselungsschlüssel | Die Art des Verschlüsselungsschlüssels, der zur Erzeugung des Public-Private-Key-Paares für das Zertifikat verwendet wird. Sie können wählen:
Wählen Sie eine Verschlüsselungsschlüssellänge zwischen 2048 und 8182 Bits, um die Stärke des Paares zu bestimmen. Je höher der Wert, desto stärker das Paar.
Für die Länge des Verschlüsselungsschlüssels wählen Sie P-256, P-384 oder P-521. Hinweis: Wenn Sie einen P-521 elliptischen Kurvenschlüssel verwenden möchten, müssen Sie diesen Schlüssel zunächst im Register aktivieren. Weitere Informationen finden Sie unter Bevor Sie den P-521-Verschlüsselungsschlüssel bei der Konfiguration Ihres ID-Zertifikats verwenden. |
Algorithmus, der zur Unterschrift der Zertifikatsanfrage verwendet wird | Der kryptografische Hashing-Algorithmus, der zur Unterschrift des CSR verwendet wird. Wählen Sie eines von SHA-256, SHA-384 oder SHA-512. Je höher die Bitlänge, desto stärker das kryptografische Hashing. |
Geben Sie die Werte für die Zertifizierungsstellen-Einstellungen an:
Schauplatz | Beschreibung |
Zertifikatseinschreibungsmethode | Die Methode, die verwendet wird, um Zertifikate von der Zertifizierungsstelle anzufordern oder zu erhalten. Derzeit gibt es nur eine Methode, den EST Connector. Du musst die EST-URL und den Port angeben. |
Authentifizieren Sie sich mit EST-Benutzerdaten statt mit einem EST-Zertifikat | Wenn aktiviert, werden der Benutzername und das Passwort des EST-Servers zur Authentifizierung verwendet. Wenn deaktiviert, werden zur Authentifizierung die Seriennummer und das Passwort des EST-Zertifikats verwendet. Sie müssen die entsprechenden Authentifizierungsdaten angeben, je nachdem, ob diese Einstellung aktiviert oder deaktiviert ist. |
Beliebiges Label für EST-URL | Ein erkennbarer Name oder Tag, der optional zur EST-URL hinzugefügt werden kann, um Zertifikate abzurufen. |
Spezifizieren Sie die Zertifikatslebenszyklus-Einstellungen:
Schauplatz | Beschreibung |
Zertifikatsverlängerungsschwelle (Tage) | Die Anzahl der Tage bis zum Ablauf des Zertifikats, in denen das System das Zertifikat verlängern soll. |
Entfernen von inaktiven ID-Zertifikaten vom Drucker | Wenn aktiviert, entfernt WXP alle inaktiven ID-Zertifikate vom Drucker. |
Klicken Sie auf Erstellen/Speichern.
WICHTIG: Bevor Sie den P-521-Verschlüsselungsschlüssel bei der Konfiguration Ihres ID-Zertifikats verwenden,
Es gibt ein bekanntes Problem bei der Konfiguration eines ID-Zertifikats zur Verwendung eines P-521-Elliptical-Curve-Verschlüsselungsschlüssels für mit Print Fleet Proxy verbundene Drucker. Windows unterstützt standardmäßig nur die Verschlüsselungsschlüssel P-256 und P-384 für TLS. Wenn Sie beabsichtigen, P-521-Verschlüsselungsschlüssel mit Ihrem Zertifikat zu verwenden, müssen Sie zunächst P-521 in der Schannel-Registrierungskonfiguration auf dem Web Jetadmin-Server aktivieren. Wenn P-521 nicht aktiviert wird, fällt der TLS-Handshake aus und der Dienst ist nicht mehr verfügbar.
Um P-521 für TLS zu aktivieren:
Öffnen Sie auf Ihrem Web-Jetadmin-Server den Registry-Editor.
Navigieren Sie zu folgendem Ort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
Erstellen oder bearbeiten Sie den Multi-String-Wert: EccCurves
Setzen Sie die Werte in Prioritätsreihenfolge:
NistP521
curve25519
NistP256
NistP384 NistDen WJA-Dienst neu starten.
Kontaktieren Sie uns
Für jegliche Unterstützung erstellen Sie einen Support-Fall oder schreiben Sie eine E-Mail support@wxp.hp.com.