Certificaten installeren en beheren met printerbeleid

Inleiding

Certificaten zijn een cruciaal aspect van het handhaven van de printerbeveiliging en zorgen voor veilige communicatie tussen de printer en andere netwerkbronnen. WXP ondersteunt twee beleidsinstellingen, CA Certificate en Identity Certificate, waarmee u de certificaten van uw organisatie kunt uploaden naar uw printervloot om te zorgen dat ze goed beveiligd zijn.

Doelgroep

Printerbeheerders die beleid voor handhaving definiëren en beheren.

Installatie en configureren van een CA-certificaat via Policy

Om je CA-certificaatinstelling te configureren in een beleid:

Maak of wijzig een printerspecifiek of een printergroepbeleid.
Op de pagina Beleid Instellingen selecteren zoek en selecteer je CA-certificaat en/of ID-certificaat.
Klik op Volgende. De pagina Instellingen instellen verschijnt.
Klik in de lijst met instellingen op CA Certificaat om het uit te vouwen en de configureerbare eigenschappen weer te geven.
Pas de opties voor Beoordeling en Sanering links van het panel aan indien nodig.
In het attributenpaneel Instellingen rechts in het paneel specificeer je de opties voor Certificaatoverschrijving. U kunt ervoor kiezen om:
- - Overschrijf een bestaand certificaat met de door het beleid gespecificeerde certificaten.
  - Voeg de certificaten die in dit beleid zijn gespecificeerd toe aan de lijst van certificaten die al op de printer aanwezig zijn.
Voeg het certificaat dat je wilt uploaden toe aan alle drukkers die door dit beleid worden getroffen:
- 1. Klik op Toevoegen.
  2. Blader naar de locatie waar je certificaat is opgeslagen en selecteer het certificaat.
  3. Klik open.
Om extra certificaten toe te voegen, herhaal Stap 6 indien nodig.
Klik op Maken/Opslaan.

Een identiteitscertificaat installeren en configureren via het printerbeleid

Om uw ID Certificate-instelling in een beleid te configureren:

Maak of wijzig een printerspecifiek of een printergroepbeleid.
Op de pagina Beleid Instellingen selecteren zoek en selecteer Identiteitscertificaat.
Klik op Volgende. De pagina Instellingen instellen verschijnt.
Klik in de lijst Instellingen op Identiteitscertificaat om het uit te vouwen en configureerbare eigenschappen weer te geven.
Pas de opties voor Beoordeling en Sanering links van het panel aan indien nodig.
Specificeer de instellingen voor ondertekeningsverzoek. Deze omvatten identificerende informatie voor het certificaat en de organisatie die eigenaar is van de printer, evenals de encryptiesleutel en algoritmewaarden die door het certificaat worden gebruikt:

Setting	Beschrijving
Bron van de Gemeenschappelijke Naam (CN)	Of het gebruik van de Volledig Gekwalificeerde Domeinnaam (FQDN) van de Embedded Web Server van de printer of het IP-adres van de printer als de Common Name (CN) waarde.
Naam van de organisatie (O)	De organisatie die de drukker beheert.
Organisatie-eenheid (OU)	De organisatorische eenheid die verantwoordelijk is voor het beheer van de printer.
Stad (L)	De stad waarin de organisatie is gevestigd.
State (ST)	De staat waarin de organisatie zich bevindt.
Land (C)	De tweeletterige landcode die het land vertegenwoordigt waarin de organisatie is gevestigd.
Neem de Subject Alternative Name (SANs) op in certificaten	Wanneer gecontroleerd, kun je een alternatieve CN voor het certificaat definiëren. Kies een van de volgende opties: FQDM: Gebruikt de volledig gekwalificeerde domeinnaam als alternatief voor CN. Hostnaam: Gebruikt de Embedded Web Server Hostnaam van de printer als alternatief CN. IP-adres: Gebruikt het IP-adres van de printer. UPN (User Principal Name): Koppelt het certificaat aan een specifieke gebruikerslogin. UPN's worden doorgaans gebruikt in Windows-omgevingen, zoals Active Directory. Als je deze optie kiest, moet je de gebruikersnaam en het domein van de gebruikersnaam invoeren, die worden gebruikt om de printer te identificeren tijdens de authenticatie. Het opnemen van SAN's voor het certificaat zorgt ervoor dat het certificaat onder verschillende namen of adressen toegankelijk is, wat het certificaatbeheer kan vereenvoudigen door vertrouwensfouten te verminderen. Als je dit ID-certificaat wilt gebruiken voor 802.1x-authenticatie (bedraad) of 802.1-authenticatie (draadloos), moet je deze instelling inschakelen en...
Controleer SAN's in beleidsbeoordelingen	Controleer deze instelling zodat WXP kan beoordelen of de SAN's die in het ID-certificaat zijn gespecificeerd overeenkomen met die in het Certificate Signing Request (CSR).
Encryptiesleutel	Het type encryptiesleutel dat wordt gebruikt om het publiek-privé sleutelpaar voor het certificaat te genereren. Je kunt kiezen tussen: RSA: Een publieke-sleutel cryptografiesysteem dat online communicatie beveiligt met een publieke sleutel voor encryptie en een privésleutel voor ontsleuteling. Kies een encryptiesleutellengte tussen 2048 en 8182 bits om de sterkte van het paar te bepalen. Hoe hoger de waarde, hoe sterker het paar. ECDSA: Een cryptografisch algoritme dat wordt gebruikt voor het genereren van digitale handtekeningen. ECDSA gebruikt elliptische krommecryptografie (ECC), die hoge beveiliging biedt met kleinere sleutelgroottes vergeleken met RSA. Voor de lengte van de encryptiesleutel kies je een van P-256, P-384 of P-521. Opmerking: Als je van plan bent een P-521 elliptische curve-encryptiesleutel te gebruiken, moet je deze sleutel eerst inschakelen in het register. Voor meer informatie, zie Voor het gebruik van de P-521 encryptiesleutel bij het configureren van uw ID-certificaat.
Algoritme gebruikt om certificaataanvraag te ondertekenen	Het cryptografische hashing-algoritme dat wordt gebruikt om de CSR te ondertekenen. Kies een van SHA-256, SHA-384 of SHA-512. Hoe hoger de bitlengte, hoe sterker de cryptografische hashing.

Specificeer de waarden voor de Certificate Authority Settings:

Setting	Beschrijving
Certificaatregistratiemethode	De methode die wordt gebruikt om certificaten op te vragen of te verkrijgen bij de Certificaatautoriteit. Momenteel is er slechts één methode beschikbaar, de EST Connector. Je moet de EST-URL en poort opgeven.
Authenticeer met EST-gebruikersgegevens in plaats van een EST-certificaat	Wanneer ingeschakeld, worden de gebruikersnaam en het wachtwoord van de EST Server gebruikt om te authenticeren. Als het is uitgeschakeld, worden het EST-certificaatserienummer en wachtwoord gebruikt om te authenticeren. Je moet de juiste authenticatiegegevens verstrekken op basis van of deze instelling is ingeschakeld of uitgeschakeld.
Willekeurig label voor EST-URL	Een herkenbare naam of tag die optioneel aan de EST-URL kan worden toegevoegd om certificaten op te halen.

Specificeer de instellingen voor de Certificaatlevenscyclus:

Setting	Beschrijving
Drempel voor certificaatverlenging (dagen)	Het aantal dagen vóór het verlopen van het certificaat dat je wilt dat het systeem het certificaat verlengt.
Verwijder inactieve ID-certificaten van de printer	Wanneer ingeschakeld, verwijdert WXP alle inactieve ID-certificaten van de printer.

Klik op Maken/Opslaan.

BELANGRIJK: Voordat je de P-521 encryptiesleutel gebruikt bij het configureren van je ID-certificaat
Er is een bekend probleem bij het configureren van een ID-certificaat om een P-521 elliptische curve-encryptiesleutel te gebruiken voor Print Fleet Proxy-verbonden printers. Windows ondersteunt standaard alleen P-256 en P-384 encryptiesleutels voor TLS. Als je van plan bent P-521 encryptiesleutels te gebruiken met je certificaat, moet je eerst P-521 inschakelen in de Schannel-registerconfiguratie op de Web Jetadmin-server. Als P-521 niet wordt ingeschakeld, faalt de TLS-handdruk en is de dienst niet beschikbaar.

Om P-521 voor TLS in te schakelen:

Open op je Web Jetadmin-server de Registry Editor.
Navigeer naar de volgende locatie:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

Maak of bewerk Multi-String Value: EccCurves
Stel de waarden in prioriteitsvolgorde:
NistP521
curve25519
NistP256
NistP384 Nist
Herstart de WJA-dienst.

Neem contact met ons op

Voor hulp kunt u een supportcase aanmaken of een e-mail sturen naar support@wxp.hp.com.