Introduction
Les certificats sont un aspect crucial du maintien de la sécurité de l’imprimante, et garantissent une communication sécurisée entre l’imprimante et les autres ressources réseau. WXP prend en charge deux paramètres de politique, le Certificat CA et le Certificat d’Identité, que vous pouvez utiliser pour télécharger les certificats de votre organisation dans votre flotte d’imprimantes afin de garantir qu’ils sont correctement sécurisés.
Public cible
Administrateurs d’imprimantes qui définissent et gèrent les politiques d’application.
Installation et configuration d’un certificat d’AC via une politique
Pour configurer votre paramètre de certificat CA dans une politique :
Créez ou modifiez une politique spécifique à l’imprimante ou un groupe d’imprimantes.
Sur la page Sélectionner les paramètres de politique , localisez et sélectionnez Certificat de CA et/ou Certificat d’ID.
Cliquez sur Suivant. La page Options de Sets apparaît.
Dans la liste des Paramètres, cliquez sur Certificat CA pour l’étendre et afficher ses propriétés configurables.
Modifiez les options d’Évaluation et de Remédiation à gauche du panneau si nécessaire.
Dans le volet Paramètres d’attributs à droite du panneau, spécifiez les options de Remplacement du Certificat. Vous pouvez choisir de :
Écraser un certificat existant avec les certificats spécifiés par la politique.
Ajoutez les certificats spécifiés dans cette politique à la liste des certificats déjà présents sur l’imprimante.
Ajoutez le certificat que vous souhaitez télécharger à toutes les imprimantes concernées par cette politique :
Cliquez sur Ajouter.
Parcourez l’emplacement où votre certificat est stocké et sélectionnez le certificat.
Cliquez sur Ouvrir.
Pour ajouter des certificats supplémentaires, répétez l’étape 6 si nécessaire.
Cliquez sur Créer/Enregistrer.
Installation et configuration d’un certificat d’identité via la politique d’imprimante
Pour configurer votre paramètre de certificat d’identité dans une politique :
Créez ou modifiez une politique spécifique à l’imprimante ou un groupe d’imprimantes.
Sur la page Sélectionner les paramètres de politique , localisez et sélectionnez Certificat d’identité.
Cliquez sur Suivant. La page Options de Sets apparaît.
Dans la liste Paramètres, cliquez sur Certificat d’identité pour l’étendre et afficher les propriétés configurables.
Modifiez les options d’Évaluation et de Remédiation à gauche du panneau si nécessaire.
Spécifiez les paramètres de la demande de signature. Cela inclut les informations d’identification du certificat et de l’organisation qui possède l’imprimante, ainsi que la clé de chiffrement et les valeurs d’algorithme utilisées par le certificat :
Cadre | Description |
Source du nom commun (CN) | S’il faut utiliser le Nom de Domaine Entièrement Qualifié (FQDN) du serveur Web embarqué de l’imprimante ou l’adresse IP de l’imprimante comme valeur Nom Commun (CN). |
Nom de l’organisation (O) | L’organisation qui gère l’imprimante. |
Unité d’organisation (OU) | L’unité organisationnelle responsable de la gestion de l’imprimante. |
Ville (Es) | La ville où se trouve l’Organisation. |
État (ST) | L’État dans lequel l’organisation est située. |
Pays (C) | Le code pays à deux lettres représentant le pays dans lequel l’organisation est située. |
Inclure le nom alternatif de la matière (SAN) dans les certificats | Une fois coché, cela vous permet de définir un CN alternatif pour le certificat. Choisissez l’une des options suivantes :
Si vous sélectionnez cette option, vous devrez entrer le nom d’utilisateur et le domaine du nom principal utilisateur, qui servent à identifier l’imprimante lors de l’authentification. L’inclusion des SAN pour le certificat garantit que celui-ci peut être accessible sous différents noms ou adresses, ce qui peut simplifier la gestion des certificats en réduisant les erreurs de confiance. Si vous souhaitez utiliser ce certificat d’identification pour l’authentification 802.1x (filaire) ou 802.1 (sans fil), vous devriez activer ce paramètre et... |
Vérifiez les SAN dans les évaluations de politique | Vérifiez ce paramètre pour que WXP évalue si les SAN spécifiés dans le certificat d’identification correspondent à ceux de la Demande de Signature de Certificat (CSR). |
Clé de chiffrement | Le type de clé de chiffrement utilisé pour générer la paire de clés publique-privée pour le certificat. Vous pouvez choisir entre :
Choisissez une longueur de clé de chiffrement entre 2048 et 8182 bits pour déterminer la force de la paire. Plus la valeur est élevée, plus le duo est fort.
Pour la longueur de la clé de chiffrement, choisissez l’un des P-256, P-384 ou P-521. Note : Si vous souhaitez utiliser une clé de chiffrement à courbe elliptique P-521, vous devez d’abord activer cette clé dans le registre. Pour plus d’informations, voir Avant d’utiliser la clé de chiffrement P-521 lors de la configuration de votre certificat d’identité. |
Algorithme utilisé pour signer une demande de certificat | L’algorithme de hachage cryptographique utilisé pour signer le CSR. Choisissez l’un des SHA-256, SHA-384 ou SHA-512. Plus la longueur du bit est grande, plus le hachage cryptographique est fort. |
Spécifiez les valeurs pour les paramètres de l’autorité de certification :
Cadre | Description |
Méthode d’inscription au certificat | La méthode utilisée pour demander ou obtenir des certificats auprès de l’autorité de certification. Actuellement, il n’existe qu’une seule méthode disponible, le connecteur EST. Vous devez fournir l’URL EST et le port. |
Authentifier avec des identifiants utilisateurs EST au lieu d’un certificat EST | Une fois activé, le nom d’utilisateur et le mot de passe du serveur EST sont utilisés pour l’authentification. En cas de désactivation, le numéro de série et le mot de passe du certificat EST sont utilisés pour l’authentification. Vous devez fournir les identifiants d’authentification appropriés en fonction de la désactivation ou de l’activation de ce paramètre. |
Étiquette arbitraire pour l’URL EST | Un nom ou une balise reconnaissable pouvant être ajouté en option à l’URL EST pour aider à récupérer les certificats. |
Spécifiez les paramètres du cycle de vie du certificat :
Cadre | Description |
Seuil de renouvellement du certificat (jours) | Le nombre de jours avant l’expiration du certificat que vous souhaitez que le système renouvele le certificat. |
Retirer les certificats d’identification inactifs de l’imprimante | Lorsqu’elle est activée, WXP supprime tous les certificats d’identification inactifs de l’imprimante. |
Cliquez sur Créer/Enregistrer.
IMPORTANT : Avant d’utiliser la clé de chiffrement P-521 lors de la configuration de votre certificat d’identification
Un problème connu est connu lors de la configuration d’un certificat ID pour utiliser une clé de chiffrement à courbe elliptique P-521 pour les imprimantes connectées à la flotte d’impression proxy. Windows ne prend en charge par défaut que les clés de chiffrement P-256 et P-384 pour TLS. Si vous souhaitez utiliser les clés de chiffrement P-521 avec votre certificat, vous devez d’abord activer P-521 dans la configuration du registre Schannel sur le serveur Web Jetadmin. Ne pas activer P-521 entraînera l’échec de la négociation TLS et le service sera indisponible.
Pour activer P-521 pour TLS :
Sur votre serveur Web Jetadmin, ouvrez l’éditeur de registre.
Naviguez vers l’emplacement suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
Créer ou modifier la valeur Multi-String : EccCurves
Définissez les valeurs dans l’ordre de priorité :
NistP521
curve25519
NistP256
NistP384 NistRedémarrez le service WJA.
Contactez-nous
Pour toute assistance, créez un dossier de support ou envoyez un e-mail support@wxp.hp.com.