Sertifikaattien asentaminen ja hallinta tulostinkäytäntöjen avulla

Johdanto

Sertifikaatit ovat ratkaiseva osa tulostimen turvallisuuden ylläpitoa, ja niitä käytetään varmistamaan turvallisen viestinnän tulostimen ja muiden verkkoresurssien välillä. WXP tukee kahta politiikkaasetusta, CA-sertifikaattia ja henkilöllisyystodistusta, joita voit käyttää organisaatiosi sertifikaattien lataamiseen tulostinlaivastoon varmistaaksesi niiden asianmukaisen suojauksen.

Kohdeyleisö

Tulostimen ylläpitäjät , jotka määrittelevät ja hallinnoivat käytäntöjä valvontaa varten.

CA-sertifikaatin asentaminen ja konfigurointi politiikan avulla

CA-sertifikaatin asetuksen konfigurointi politiikassa:

Luo tai muokkaa tulostinkohtaista tai tulostinryhmäkäytäntöä.
Valitse Policy Settings -sivulla etsi ja valitse CA Certificate ja/tai ID Certificate.
Klikkaa Seuraava. Aseta asetukset -sivu ilmestyy.
Asetuksista klikkaa CA Certificate laajentaaksesi sen ja näyttääksesi sen konfiguroitavat ominaisuudet.
Muokkaa paneelin vasemmalla puolella olevia arviointi- ja korjausvaihtoehtoja tarpeen mukaan.
Paneelin oikealla puolella olevassa Asetukset-attribuutit -paneelissa määritä Sertifikaatin ylikirjoitusvaihtoehdot. Voit valita:
- - Korvaa olemassa oleva varmenne politiikan määrittelemillä varmenteista.
  - Lisää tässä politiikassa määritellyt varmenteet tulostimessa jo olevien varmenteiden listaan.
Lisää sertifikaatti, jonka haluat ladata kaikille tulostimille, joita tämä käytäntö koskee:
- 1. Klikkaa Lisää.
  2. Selaa paikkaa, jossa sertifikaattisi on tallennettu, ja valitse sertifikaatti.
  3. Klikkaa Avaa.
Lisäsertifikaattien lisäämiseksi toista vaihe 6 tarpeen mukaan.
Klikkaa Luo/Tallenna.

Identiteettitodistuksen asentaminen ja konfigurointi tulostinkäytännön avulla

Määrittääksesi ID-sertifikaattiasetuksesi politiikassa:

Luo tai muokkaa tulostinkohtaista tai tulostinryhmäkäytäntöä.
Valitse Politiikkaasetukset -sivulla etsi ja valitse Henkilöllisyystodistus.
Klikkaa Seuraava. Aseta asetukset -sivu ilmestyy.
Asetuksista klikkaa Henkilöllisyystodistusta laajentaaksesi sen ja näyttääksesi konfiguroitavat ominaisuudet.
Muokkaa paneelin vasemmalla puolella olevia arviointi- ja korjausvaihtoehtoja tarpeen mukaan.
Määritä allekirjoituspyynnön asetukset. Näihin kuuluvat tunnistustiedot varmenteesta ja tulostimen omistavasta organisaatiosta sekä varmenteen käyttämät salausavaimet ja algoritmiarvot:

Tapahtumapaikka	Kuvaus
Yleisen nimen lähde (CN)	Käytetäänkö tulostimen Embedded Web Serverin Fully Qualified Domain Name (FQDN) -nimeä vai tulostimen IP-osoitetta Common Name (CN) -arvona.
Organisaation nimi (O)	Organisaatio, joka hallinnoi painotaloa.
Organisaatioyksikkö (OU)	Organisaatioyksikkö, joka vastaa tulostimen hallinnasta.
City (L)	Kaupunki, jossa järjestö sijaitsee.
Osavaltio (ST)	Osavaltio, jossa järjestö sijaitsee.
Country (C)	Kaksikirjaiminen maakoodi edustaa maata, jossa organisaatio sijaitsee.
Sisällytä todistuksiin aineen vaihtoehtoinen nimi (SAN).	Kun se on tarkistettu, voit määritellä varmentille vaihtoehtoisen CN:n. Valitse jokin seuraavista vaihtoehdoista: FQDM: Käyttää täysin pätevää verkkotunnusta vaihtoehtoisena CN:nä. Isäntänimi: Käyttää tulostimen Embedded Web Server -isäntänimeä vaihtoehtoisena CN:nä. IP-osoite: Käyttää tulostimen IP-osoitetta. UPN (User Principal Name): Linkittää varmenteen tiettyyn käyttäjätunnukseen. UPN-tiedostoja käytetään tyypillisesti Windows-ympäristöissä, kuten Active Directoryssa. Jos valitset tämän vaihtoehdon, sinun täytyy syöttää käyttäjätunnus ja päähenkilön nimi , joita käytetään tulostimen tunnistamiseen todennuksen aikana. SAN-korttien sisällyttäminen varmenteeseen varmistaa, että varmenteeseen pääsee käsiksi eri nimillä tai osoitteilla, mikä voi yksinkertaistaa varmenteiden hallintaa vähentämällä luottamusvirheitä. Jos aiot käyttää tätä ID-sertifikaattia 802.1x-todennukseen (langallinen) tai 802.1-tunnistautumiseen (langaton), sinun tulisi ottaa tämä asetus käyttöön ja..
Tarkista SAN:t Policy Assessmentsista	Tarkista tämä asetus, jotta WXP arvioi, vastaavatko ID-varmenteessa määritellyt SAN:t Certificate Signing Request (CSR) -SANeja.
Salausavain	Salausavaimen tyyppi, jota käytetään julkisen ja yksityisen avaimen parin luomiseen varmentille. Voit valita seuraavien välillä: RSA: Julkisen avaimen kryptografiajärjestelmä, joka suojaa verkkoviestintää julkisella avaimella salaukseen ja yksityisellä avaimella salauksen purkuun. Valitse salausavaimen pituus , jonka pituus on 2048 – 8182 bittiä määrittääksesi parin vahvuuden. Mitä korkeampi arvo, sitä vahvempi pari. ECDSA: Kryptografinen algoritmi, jota käytetään digitaalisten allekirjoitusten luomiseen. ECDSA käyttää elliptistä käyräkryptografiaa (ECC), joka tarjoaa korkean turvallisuuden pienemmillä avainkokoilla verrattuna RSA:han. Salausavaimen pituudesta valitse joko P-256, P-384 tai P-521. Huomautus: Jos aiot käyttää P-521-elliptisen käyrän salausavainta, sinun on ensin otettava tämä avain käyttöön rekisterissä. Lisätietoja löytyy kohdasta Ennen kuin käytät P-521-salausavainta ID-sertifikaatin konfigurointiin.
Algoritmi, jota käytetään varmennepyynnön allekirjoittamiseen	Kryptografinen hajautusalgoritmi, jota käytetään CSR:n allekirjoittamiseen. Valitse SHA-256, SHA-384 tai SHA-512. Mitä suurempi bitin pituus, sitä vahvempi kryptografinen hajautus.

Määritä Sertifikaattiviranomaisen asetusten arvot:

Tapahtumapaikka	Kuvaus
Todistusten rekisteröintimenetelmä	Menetelmä, jolla pyydettiin tai hankittiin sertifikaatteja varmennusviranomaiselta. Tällä hetkellä saatavilla on vain yksi menetelmä, EST Connector. Sinun täytyy antaa EST-osoite ja portti.
Tunnista EST-käyttäjätunnuksia EST-sertifikaatin sijaan	Kun se on käytössä, EST-palvelimen käyttäjätunnus ja salasana käytetään todentumiseen. Jos se on pois päältä, EST-sertifikaatin sarjanumeroa ja salasanaa käytetään tunnistautumiseen. Sinun on annettava asianmukaiset tunnistautumistiedot sen mukaan, onko asetus käytössä vai pois päältä.
Mielivaltainen tunniste EST-URL:lle	Tunnistettava nimi tai tagi, joka voidaan halutessasi lisätä EST-URL-osoitteeseen varmenteiden hakemisen helpottamiseksi.

Määritä Sertifikaatin elinkaaren asetukset:

Tapahtumapaikka	Kuvaus
Todistuksen uusimiskynnys (päivät)	Päivien määrä ennen todistuksen vanhenemista, jolloin haluat järjestelmän uusivan sertifikaatin.
Poista passiiviset ID-sertifikaatit tulostimesta	Kun se on käytössä, WXP poistaa kaikki ei-aktiiviset ID-sertifikaatit tulostimesta.

Klikkaa Luo/Tallenna.

TÄRKEÄÄ: Ennen kuin käytät P-521-salausavainta ID-sertifikaatin konfigurointia varten
Tunnetaan ongelma, kun ID-sertifikaattia konfiguroidaan käyttämään P-521-elliptisen käyrän salausavainta Print Fleet Proxy -liitetyissä tulostimissa. Windows tukee oletuksena vain P-256- ja P-384-salausavaimia TLS:lle. Jos aiot käyttää P-521-salausavaimia sertifikaattisi kanssa, sinun on ensin otettava P-521 käyttöön Schannel-rekisterin konfiguraatiossa Web Jetadmin -palvelimella. P-521:n aktivoimatta jättäminen johtaa TLS-kättelyn epäonnistumiseen ja palvelun poistumiseen.

P-521:n käyttöönotto TLS:lle:

Avaa Web Jetadmin -palvelimellasi rekisterieditori.
Siirry seuraavaan paikkaan:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

Luo tai muokkaa monijonoarvoa: EccCurves
Aseta arvot prioriteettijärjestykseen:
NistP521
curve25519
NistP256
NistP384 Nist
Käynnistä WJA-palvelu uudelleen.

Ota yhteyttä

Jos haluat apua, laadi tukitapaus tai lähetä sähköpostia support@wxp.hp.com.