Introdução
Certificados são um aspecto crítico para manter a segurança da impressora, sendo usados para garantir comunicação segura entre a impressora e outros recursos de rede. O WXP suporta duas configurações de política, Certificado CA e Certificado de Identidade, que você pode usar para enviar os certificados da sua organização para sua frota de impressoras para garantir que estejam devidamente protegidos.
Público-Alvo
Administradores de impressora que definem e gerenciam políticas para fiscalização.
Instalação e Configuração de um Certificado de CA via Política
Para configurar sua configuração de Certificado de CA em uma política:
Crie ou modifique uma política específica para impressora ou um grupo de impressora.
Na página Selecionar Configurações de Política , localize e selecione Certificado de CA e/ou Certificado de ID.
Clique em Próximo. A página de Opções de Conjunto aparece.
Na lista de Configurações, clique em Certificado CA para expandi-lo e exibir suas propriedades configuráveis.
Modifique as opções de Avaliação e Remediações à esquerda do painel conforme necessário.
No painel de atributos de Configurações à direita do painel, especifique as Opções de Sobrescrevimento de Certificado. Você pode escolher:
Substitua um certificado existente pelos certificados especificados pela política.
Adicione os certificados especificados nesta política à lista de certificados já presentes na impressora.
Adicione o certificado que você deseja enviar para todas as gráficas afetadas por esta política:
Clique em Adicionar.
Navegue até o local onde seu certificado está armazenado e selecione o certificado.
Clique em abrir.
Para adicionar certificados adicionais, repita o Passo 6 conforme necessário.
Clique em Criar/Salvar.
Instalação e Configuração de um Certificado de Identidade via Política de Impressora
Para configurar sua configuração de Certificado de Identificação em uma política:
Crie ou modifique uma política específica para impressora ou um grupo de impressora.
Na página Selecionar Configurações de Política , localize e selecione Certificado de Identidade.
Clique em Próximo. A página de Opções de Conjunto aparece.
Na lista de Configurações, clique em Certificado de Identidade para expandi-lo e exibir propriedades configuráveis.
Modifique as opções de Avaliação e Remediações à esquerda do painel conforme necessário.
Especifique as configurações de solicitação de assinatura. Essas incluem informações identificadoras para o certificado e a organização que possui a impressora, bem como a chave de criptografia e os valores do algoritmo usados pelo certificado:
Ambientação | Descrição |
Fonte do Nome Comum (CN) | Se deve usar o Nome de Domínio Totalmente Qualificado (FQDN) do Servidor Web Embarcado da impressora ou o endereço IP da impressora como valor do Nome Comum (CN). |
Nome da organização (O) | A organização que gerencia a gráfica. |
Unidade de Organização (OU) | A unidade organizacional responsável pela gestão da impressora. |
Cidade (Esquera) | A cidade onde a Organização está localizada. |
Estado (ST) | O estado onde a Organização está localizada. |
País (C) | O código de país de duas letras representa o país onde a organização está localizada. |
Inclua Nome Alternativo da Sujeição (SANs) nos Certificados | Quando verificado, permite definir um CN alternativo para o certificado. Escolha uma das seguintes opções:
Se você selecionar essa opção, precisará inserir o Nome de Usuário e o Domínio do Nome Principal do Usuário, que são usados para identificar a impressora durante a autenticação. Incluir SANs para o certificado garante que ele possa ser acessado por diferentes nomes ou endereços, o que pode simplificar o gerenciamento de certificados ao reduzir erros de confiança. Se você pretende usar este certificado de ID para autenticação 802.1x (Wired) ou 802.1 (Wireless), você deve ativar essa configuração e... |
Verifique as SANs nas Avaliações de Políticas | Verifique essa configuração para que a WXP avalie se as SANs especificadas no certificado de identificação correspondem às SANs do Pedido de Assinatura de Certificado (CSR). |
Chave de Criptografia | O tipo de chave de criptografia usada para gerar o par de chaves Público-Privadas para o certificado. Você pode escolher entre:
Escolha um Comprimento de Chave de Criptografia entre 2048 e 8182 bits para determinar a força do par. Quanto maior o valor, mais forte o par.
Para o Comprimento da Chave de Criptografia, escolha um entre P-256, P-384 ou P-521. Nota: Se você pretende usar uma chave de criptografia de curva elíptica P-521, deve primeiro habilitar essa chave no registro. Para mais informações, veja Antes de usar a chave de criptografia P-521 ao configurar seu Certificado de Identificação. |
Algoritmo usado para assinar solicitações de certificado | O algoritmo de hash criptográfico usado para assinar o CSR. Escolha um dos SHA-256, SHA-384 ou SHA-512. Quanto maior o comprimento do bit, mais forte será o hash criptográfico. |
Especifique os valores para as Configurações da Autoridade Certificadora:
Ambientação | Descrição |
Método de Inscrição de Certificados | O método utilizado para solicitar ou obter certificados da Autoridade Certificadora. Atualmente, há apenas um método disponível, o EST Connector. Você deve fornecer a URL e a porta EST. |
Autenticar com credenciais de usuário EST em vez de um certificado EST | Quando ativado, o Nome de Usuário e a Senha do Servidor EST são usados para autenticar. Se desativado, o Número Serial do Certificado EST e a Senha são usados para autenticar. Você deve fornecer as credenciais de autenticação apropriadas dependendo dessa configuração estar ativada ou desativada. |
Rótulo arbitrário para URL EST | Um nome ou tag reconhecível que pode opcionalmente ser adicionado à URL EST para ajudar a recuperar certificados. |
Especifique as configurações do ciclo de vida do certificado:
Ambientação | Descrição |
Limiar de Renovação de Certificado (Dias) | O número de dias antes do vencimento do certificado que você quer que o sistema renove o certificado. |
Remover Certificados de ID Inativo da Impressora | Quando ativado, o WXP remove quaisquer certificados de ID inativo da impressora. |
Clique em Criar/Salvar.
IMPORTANTE: Antes de usar a chave de criptografia P-521 ao configurar seu Certificado de Identificação
Há um problema conhecido ao configurar um certificado de identificação para usar uma chave de criptografia de curva elíptica P-521 para impressoras conectadas ao Proxy de Frota de Impressão. O Windows suporta apenas chaves de criptografia P-256 e P-384 para TLS por padrão. Se você pretende usar chaves de criptografia P-521 com seu certificado, deve primeiro ativar o P-521 na configuração do registro Schannel no servidor Web Jetadmin. Falhar em ativar o P-521 resultará na falha do handshake TLS e no serviço indisponível.
Para habilitar o P-521 para TLS:
No seu servidor Web Jetadmin, abra o Editor do Registro.
Navegue até o seguinte local:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
Criar ou editar Valor Multi-String: EccCurves
Defina os valores em ordem de prioridade:
NistP521
curve25519
NistP256
NistP384 NistReinicie o serviço da WJA.
Entre em contato conosco
Para qualquer ajuda, crie um caso de suporte ou envie um e-mail support@wxp.hp.com.