使用打印机策略安装和管理证书

  • 发布于 Mar 17, 2026
  • 1 分钟阅读
  • s
 Prev Next

简介

证书是维护打印机安全的关键环节,用于确保打印机与其他网络资源之间的安全通信。WXP支持两种策略设置: CA证书身份证书,您可以使用它们将组织的证书上传到打印机车队,以确保其安全。

目标受众

打印机管理员负责制定和管理执行政策。

通过策略安装和配置CA证书

要在策略中配置您的CA证书设置:  

  1. 创建或修改打印机专用或打印机组策略

  2. “选择策略设置 ”页面,找到并选择 CA证书 和/或 ID证书

  3. 点击 下一步。“ 集合选项 ”页面会出现。  

  4. 在设置列表中,点击 CA证书 展开并显示其可配置属性。

  5. 根据需要修改面板左侧的评估和修复选项。

  6. 在面板右侧的设置属性面板中,指定证书覆盖选项。您可以选择:

      • 用策略指定的证书覆盖现有证书。

      • 将本策略中指定的证书添加到打印机上已有的证书列表中。

  7. 添加您希望上传到所有受此政策影响的打印机的证书:

      1. 点击 添加。  

      2. 浏览存储证书的位置并选择证书。

      3. 点击 打开

  8. 如需添加额外证书,请根据需要重复第6步。

  9. 点击 创建/保存

通过打印机策略安装和配置身份证书

要在策略中配置你的ID证书设置:  

  1. 创建或修改打印机专用或打印机组策略

  2. “选择策略设置 ”页面,找到并选择身份 证书

  3. 点击 下一步。“ 集合选项 ”页面会出现。  

  4. 在设置列表中,点击 身份证书 以展开并显示可配置属性。

  5. 根据需要修改面板左侧的评估和修复选项。

  6. 指定签名请求设置。这些包括证书及其拥有打印机的组织的识别信息,以及证书所使用的加密密钥和算法值:

背景设定

描述

通用名称来源(CN)

是否使用打印机嵌入式Web服务器的完全限定域名(FQDN)或打印机的IP地址作为通用名称(CN)值。

组织名称(O)

管理打印机的组织。

组织单位(OU)

负责管理打印机的组织单位。

城市(L)

组织所在的城市。

州(ST)

组织所在的州。

乡村(C)

代表组织所在国家的两个字母国家代码。

在证书中包含主题替代名称(SANs)

勾选后,可以为证书定义一个备用CN。请选择以下选项之一:

  • FQDM:使用完全限定域名作为替代域名。

  • 主机名:使用打印机的嵌入式Web服务器主机名作为替代CN。

  • IP地址:使用打印机的IP地址。

  • UPN (用户主体名称):将证书与特定用户登录链接。UPN通常用于Windows环境,如Active Directory。

如果你选择这个选项,你需要输入用户主体名称的用户名和域名,这些信息在认证时用于识别打印机。

为证书添加SAN确保可以通过不同名称或地址访问证书,从而通过减少信任错误简化证书管理。

如果你打算用这个ID证书进行802.1x认证(有线)或802.1认证(无线),你应该启用这个设置......

在政策评估中检查SAN

请检查此设置,让WXP评估ID证书中指定的SAN是否与证书签名请求(CSR)中的SAN匹配。

加密密钥

用于生成证书公私钥对的加密密钥类型。你可以选择:

  • RSA:一种公钥密码系统,利用公钥加密和私钥进行解密,保护在线通信。

选择20488182位之间的加密密钥长度,以确定密钥对的强度。价值越高,这对货币对越强。

  • ECDSA:一种用于生成数字签名的密码算法。ECDSA采用椭圆曲线密码学(ECC),其安全性高且密钥大小较RSA更小。

加密 密钥长度请选择 P-256P-384P-521之一。

注: 如果您打算使用P-521椭圆曲线加密密钥,必须先在注册表中启用该密钥。更多信息请参见“ 在配置ID证书时使用P-521加密密钥之前”。

用于签署证书请求的算法

用于签署CSR的密码学哈希算法。请选择 SHA-256SHA-384SHA-512之一。比特长度越长,密码学哈希越强。

  1. 指定证书授权中心设置的数值:

背景设定

描述

证书注册方法

请求或获取证书授权机构证书的方法。目前,只有一种方法可用,即 EST连接器

您必须提供 EST网址端口

用EST用户凭证认证,而不是EST证书

启用后,使用 EST服务器的用户名密码 进行身份验证。如果被禁用,则使用 EST证书序列号密码 进行认证。

您必须根据该设置是否启用,提供相应的认证凭证。

EST URL 的任意标签

一个可识别的名称或标签,可以选择添加到EST网址中,以帮助检索证书。

  1. 请指定证书生命周期设置:

背景设定

描述

证书续期门槛(天数)

你希望系统续期证书的日期。

从打印机中移除非活跃ID证书

启用后,WXP会从打印机中移除所有非激活的ID证书。

  1. 点击 创建/保存

重要提示:在配置ID证书时使用P-521加密密钥之前

在配置ID证书以使用P-521椭圆曲线加密密钥以连接Print Fleet Proxy的打印机时,存在已知问题。Windows默认只支持TLS的P-256和P-384加密密钥。如果您打算在证书中使用P-521加密密钥,必须先在Web Jetadmin服务器的Schannel注册表配置中启用P-521。未能启用P-521将导致TLS握手失败,服务无法使用。

启用 TLS 的 P-521:

  1. 在你的 Web Jetadmin 服务器上,打开 注册表编辑器

  2. 请前往以下地点:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002

  1. 创建或编辑 多字符串值:EccCurves

  2. 按优先级顺序设置数值:
    NistP521
    曲线25519
    NistP256
    NistP384 尼斯特

  3. 重启WJA服务。

联系我们

如需协助,请 创建支持案件 或电子邮件 support@wxp.hp.com。

相关文章