プリンターポリシーを用いた証明書のインストールと管理

  • 公開日 Mar 17, 2026
  • 1 分で読めます
  • s
 Prev Next

はじめに

証明書はプリンターのセキュリティ維持において重要な要素であり、プリンターと他のネットワークリソース間の安全な通信を確保するために使用されます。WXPは CA証明書アイデンティティ証明書の2つのポリシー設定をサポートしており、組織の証明書をプリンター群にアップロードして適切に保護できるようにします。

ターゲット層

リンタ管理者は、施行のためのポリシーを定義し管理します。

ポリシーによるCA証明書のインストールおよび設定

ポリシーでCA証明書の設定を設定するには:  

  1. プリンター固有のポリシーやプリンターグループポリシーを作成または修正できます。

  2. ポリシー設定を選択する 」ページで、 CA証明書 および/または ID証明書を探して選択します。

  3. 次へクリック。セットオプションページが表示されます。

  4. 設定リストで「 CA証明書 」をクリックして展開し、設定可能なプロパティを表示します。

  5. 必要に応じてパネル左側の評価および修復オプションを修正してください。

  6. パネル右側の設定属性パネルで「証明書上書きオプション」を指定します。以下を選べます:

      • 既存の証明書をポリシー指定の証明書で上書きします。

      • このポリシーで指定された証明書を、プリンターにすでに存在する証明書のリストに追加してください。

  7. このポリシーの影響を受けるすべてのプリンターにアップロードしたい証明書を追加してください:

      1. 追加をクリックします。

      2. 証明書が保存されている場所に移動し、証明書を選択してください。

      3. 開く」をクリックします。

  8. 追加の証明書を追加する場合は、必要に応じてステップ6を繰り返してください。

  9. 作成/保存をクリックします。

プリンターポリシーによるアイデンティティ証明書のインストールおよび設定

ポリシー内でID証明書の設定を設定するには:  

  1. プリンター固有のポリシーやプリンターグループポリシーを作成または修正できます。

  2. ポリシー設定の選択 」ページで「 Identity Certificate」を見つけて選択します。

  3. 次へクリック。セットオプションページが表示されます。

  4. 設定リストで 「Identity Certificate 」をクリックして展開し、設定可能なプロパティを表示します。

  5. 必要に応じてパネル左側の評価および修復オプションを修正してください。

  6. 署名リクエストの設定を指定してください。これには、証明書およびプリンターを所有する組織の識別情報、証明書で使用される暗号化鍵およびアルゴリズムの値が含まれます。

舞台設定

概要

通称の由来(CN)

共通名(CN)値として、プリンターの組み込みウェブサーバーの完全限定ドメイン名(FQDN)を使うか、プリンターのIPアドレスを使うか。

組織名(O)

プリンターを管理する組織です。

組織ユニット(OU)

プリンターの管理を担当する組織単位です。

シティ(L)

組織が所在する都市。

ステート(ST)

組織が所在する州。

カントリー(C)

組織が所在する国を表す2文字の国コード。

証明書に主題別名(SAN)を含める

チェックすると、証明書の代替CNを定義できます。以下のいずれかの選択肢を選んでください:

  • FQDM:完全限定ドメイン名を代替CNとして使用します。

  • ホスト名:プリンターの組み込みウェブサーバーホスト名を代替CNとして使用します。

  • IPアドレス:プリンターのIPアドレスを使用します。

  • UPN (ユーザープリンシパル名):証明書を特定のユーザーログインにリンクします。UPNは通常、Active DirectoryなどのWindows環境で使用されます。

このオプションを選択すると、認証時にプリンターを識別するために使われるユーザープリンシパル名の ユーザー 名と ドメイン を入力する必要があります。

証明書にSANを含めることで、異なる名前やアドレスから証明書にアクセスでき、信頼エラーを減らすことで証明書管理が簡素化されます。

もしこのID証明書を802.1x認証(有線)や802.1認証(無線)に使うつもりなら、この設定を有効にしてください。

ポリシーアセスメントでSANをチェックしましょう

この設定を確認して、WXPにID証明書で指定されたSANが証明書署名要求(CSR)のSANと一致しているかどうかを評価してもらいます。

暗号鍵

証明書の公開鍵対秘密鍵のペアを生成するために使われる暗号鍵の種類。以下から選べます:

  • RSA:公開鍵を暗号化し、秘密鍵を復号に用いてオンライン通信を保護する公開鍵暗号システムです。

2048ビットから8182ビットの間を選んで、ペアの強度を決定します。値が高いほど、ペアの強さを示します。

  • ECDSA:デジタル署名を生成するための暗号アルゴリズムです。ECDSAは楕円曲線暗号(ECC)を使用しており、RSAに比べて鍵サイズが小さく高いセキュリティを提供します。

暗号鍵長については、P-256P-384またはP-521のいずれかを選びます。

注: P-521楕円曲線暗号化鍵を使用する場合は、まずレジストリでこの鍵を有効にする必要があります。詳細については、「 ID証明書設定時にP-521暗号化鍵を使用する前に」をご覧ください。

証明書要求に署名するアルゴリズム

CSRに署名するために使われた暗号学的ハッシュアルゴリズム。 SHA-256SHA-384、または SHA-512のいずれかを選びましょう。ビット長が長いほど、暗号ハッシュは強くなります。

  1. 認証局の設定の値を指定してください:

舞台設定

概要

証明書登録方法

証明書発行機関から証明書を請求または取得するための方法です。現在利用可能な方法は一つ、 ESTコネクターです。

ESTのURLポートを必ず提供してください。

EST証明書ではなく、ESTユーザー認証で認証してください

有効化されると、 ESTサーバーのユーザー名パスワード が認証に使われます。無効化されている場合、 EST証明書シリアル番号パスワード が認証に使用されます。

この設定が有効か無効かに応じて、適切な認証情報を提供する必要があります。

EST URLの任意のラベル

証明書の取得を助けるために、ESTのURLにオプションで追加できる認識可能な名前やタグ。

  1. 証明書ライフサイクルの設定を指定してください:

舞台設定

概要

証明書更新の閾値(日数)

証明書の有効期限が切れる日数まで、更新してほしい日数です。

プリンターから非アクティブなID証明書を削除する

有効化されると、WXPはプリンターから非アクティブなID証明書をすべて削除します。

  1. 作成/保存をクリックします。

重要:ID証明書を設定する際にP-521暗号鍵を使用する前に

Print Fleet Proxy接続プリンターでP-521楕円曲線暗号化キーを使用するID証明書の設定時に既知の問題があります。WindowsはデフォルトでTLS用のP-256およびP-384暗号化鍵のみをサポートしています。証明書と共にP-521暗号化鍵を使用する場合は、まずWeb JetadminサーバーのSchannelレジストリ設定でP-521を有効にする必要があります。P-521を有効にしないと、TLSハンドシェイクが失敗し、サービスが利用できなくなります。

TLS用のP-521を有効にするには:

  1. Web Jetadminサーバーでレジ ストリエディターを開きます。

  2. 以下の場所へ移動してください:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

  1. マルチストリング値の作成または編集:EccCurves

  2. 優先順位で値を設定します:
    NISTP521
    カーブ25519
    NistP256
    NistP384 ニスト

  3. WJAサービスを再起動してください。

お問い合わせ

サポートが必要な場合は、 サポートケース やメール support@wxp.hp.com を作成してください。

関連記事