Installera och hantera certifikat med skrivarpolicys

  • Publicerad Mar 17, 2026
  • 4 minut(er) lästa
  • s
 Prev Next

Introduktion

Certifikat är en kritisk del av att upprätthålla skrivarsäkerhet och används för att säkerställa säker kommunikation mellan skrivaren och andra nätverksresurser. WXP stöder två policyinställningar, CA-certifikat och identitetscertifikat, som du kan använda för att ladda upp din organisations certifikat till din skrivarflotta för att säkerställa att de är ordentligt säkrade.

Målgrupp

Skrivaradministratörer som definierar och hanterar policyer för tillsyn.

Installera och konfigurera ett CA-certifikat via Policy

För att konfigurera din CA-certifikatinställning i en policy:  

  1. Skapa eller ändra en skrivarspecifik eller en skrivargruppspolicy.

  2. På sidan Välj policyinställningar , hitta och välj CA-certifikat och/eller ID-certifikat.

  3. Klicka på Nästa. Sidan Inställningar visas.  

  4. I Inställningslistan, klicka på CA-certifikat för att expandera det och visa dess konfigurerbara egenskaper.

  5. Ändra alternativen för bedömning och åtgärder till vänster om panelen vid behov.

  6. I panelen Inställningar till höger om panelen, ange alternativen för certifikatöverskrivning. Du kan välja att:

      • Skriv över ett befintligt certifikat med de policyspecificerade certifikaten.

      • Lägg till de certifikat som anges i denna policy till listan över certifikat som redan finns på skrivaren.

  7. Lägg till certifikatet du vill ladda upp till alla skrivare som påverkas av denna policy:

      1. Klicka på Lägg till.  

      2. Bläddra till platsen där ditt certifikat lagras och välj certifikatet.

      3. Klicka på Öppna.

  8. För att lägga till ytterligare certifikat, upprepa steg 6 vid behov.

  9. Klicka på Skapa/Spara.

Installera och konfigurera ett identitetscertifikat via skrivarpolicy

För att konfigurera din ID-certifikatinställning i en policy:  

  1. Skapa eller ändra en skrivarspecifik eller en skrivargruppspolicy.

  2. På sidan Välj policyinställningar , hitta och välj Identitetscertifikat.

  3. Klicka på Nästa. Sidan Inställningar visas.  

  4. I Inställningslistan, klicka på Identitetscertifikat för att expandera den och visa konfigurerbara egenskaper.

  5. Ändra alternativen för bedömning och åtgärder till vänster om panelen vid behov.

  6. Ange inställningarna för signeringsförfrågning. Dessa inkluderar identifierande information för certifikatet och organisationen som äger skrivaren, samt krypteringsnyckeln och algoritmvärdena som används av certifikatet:

Miljö

Beskrivning

Källa till det vanliga namnet (CN)

Om man ska använda Fully Qualified Domain Name (FQDN) för skrivarens inbyggda webbserver eller skrivarens IP-adress som Common Name (CN)-värde.

Organisationsnamn (O)

Organisationen som hanterar skrivaren.

Organisationsenhet (OU)

Den organisatoriska enheten som ansvarar för att hantera skrivaren.

Stad (L)

Staden där organisationen är belägen.

State (ST)

Delstaten där organisationen är belägen.

Land (C)

Den tvåbokstaviga landskoden som representerar landet där organisationen är belägen.

Inkludera ämnesalternativnamn (SAN) i certifikat

När det är kontrollerat låter det dig definiera en alternativ CN för certifikatet. Välj ett av följande alternativ:

  • FQDM: Använder det fullt kvalificerade domännamnet som alternativ CN.

  • Värdnamn: Använder skrivarens Embedded Web Server Hostname som alternativ CN.

  • IP-adress: Använder skrivarens IP-adress.

  • UPN (User Principal Name): Länkar certifikatet till en specifik användarinloggning. UPN:er används vanligtvis i Windows-miljöer, såsom Active Directory.

Om du väljer detta alternativ måste du ange användarnamn och domän för användarens huvudnamn, vilka används för att identifiera skrivaren vid autentisering.

Att inkludera SAN:er för certifikatet säkerställer att certifikatet kan nås med olika namn eller adresser, vilket kan förenkla certifikathanteringen genom att minska förtroendefel.

Om du tänker använda detta ID-certifikat för 802.1x-autentisering (trådbundet) eller 802.1-autentisering (trådlöst), bör du aktivera denna inställning och...

Kontrollera SANs i policybedömningar

Kontrollera denna inställning för att låta WXP bedöma om de SAN:er som anges i ID-certifikatet matchar SAN:erna i Certificate Signing Request (CSR).

Krypteringsnyckel

Typen av krypteringsnyckel som används för att generera det offentlig-privata nyckelparet för certifikatet. Du kan välja mellan:

  • RSA: Ett publikt nyckelkryptografisystem som säkrar onlinekommunikation med en offentlig nyckel för kryptering och en privat nyckel för dekryptering.

Välj en krypteringsnyckel mellan 2048 och 8182 bitar för att avgöra styrkan på paret. Ju högre värde, desto starkare par.

  • ECDSA: En kryptografisk algoritm som används för att generera digitala signaturer. ECDSA använder elliptisk kurvkryptografi (ECC), som ger hög säkerhet med mindre nyckelstorlekar jämfört med RSA.

För krypteringsnyckelns längd, välj en av P-256, P-384 eller P-521.

Notera: Om du avser att använda en P-521 elliptisk kurva-krypteringsnyckel måste du först aktivera denna nyckel i registret. För mer information, se Innan du använder P-521-krypteringsnyckeln när du konfigurerar ditt ID-certifikat.

Algoritm som används för att signera certifikatförfrågan

Den kryptografiska hashalgoritmen som används för att signera CSR. Välj en av SHA-256, SHA-384 eller SHA-512. Ju högre bitlängd, desto starkare är kryptografisk hashning.

  1. Ange värdena för Certificate Authority Settings:

Miljö

Beskrivning

Certifikatregistreringsmetod

Metoden som används för att begära eller erhålla certifikat från certifikatutfärdaren. För närvarande finns det bara en metod tillgänglig, EST Connector.

Du måste ange EST-URL: en och porten.

Autentisera med EST-användaruppgifter istället för ett EST-certifikat

När det är aktiverat används användarnamn och lösenord för EST Server för autentisering. Om den är inaktiverad används EST-certifikatets serienummer och lösenord för autentisering.

Du måste ange rätt autentiseringsuppgifter beroende på om denna inställning är aktiverad eller inaktiverad.

Godtycklig etikett för EST-URL

Ett igenkännbart namn eller tagg som valfritt kan läggas till i EST-URL:en för att hjälpa till att hämta certifikat.

  1. Ange inställningarna för certifikatlivscykeln:

Miljö

Beskrivning

Tröskel för certifikatförnyelse (dagar)

Antalet dagar innan certifikatets utgång som du vill att systemet ska förnya certifikatet.

Ta bort inaktiva ID-certifikat från skrivaren

När WXP är aktiverat kommer det att ta bort alla inaktiva ID-certifikat från skrivaren.

  1. Klicka på Skapa/Spara.

VIKTIGT: Innan du använder P-521-krypteringsnyckeln när du konfigurerar ditt ID-certifikat

Det finns ett känt problem när man konfigurerar ett ID-certifikat för att använda en P-521 elliptisk kurvkrypteringsnyckel för skrivare anslutna till Print Fleet Proxy. Windows stöder endast P-256 och P-384 krypteringsnycklar för TLS som standard. Om du avser att använda P-521-krypteringsnycklar med ditt certifikat måste du först aktivera P-521 i Schannel-registerkonfigurationen på Web Jetadmin-servern. Om man inte aktiverar P-521 kommer TLS-handshake att misslyckas och tjänsten blir otillgänglig.

För att aktivera P-521 för TLS:

  1. På din Web Jetadmin-server, öppna Registereditorn.

  2. Navigera till följande plats:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

  1. Skapa eller redigera Multi-String Value: EccCurves

  2. Sätt värdena i prioritetsordning:
    NistP521
    kurva25519
    NistP256
    NistP384 Nist

  3. Starta om WJA-tjänsten.

Kontakta oss

För all hjälp, skapa ett supportärende eller mejla support@wxp.hp.com.

relaterade artiklar