加密网络通讯

要保护通讯信息，必须加密计算机与外部设备之间的通讯。

传输期间，计算机收发的数据可能会被截获、破解或篡改。例如，可以在机器与外部设备或计算机之间传输以下数据：

公司中使用打印机驱动程序打印的文档
会议中使用的扫描文档或电子邮件发送的文档
登录用户名和登录密码

数据加密的方法请见下表。

要加密的数据	加密方法	过程/参考
Web Image Monitor IPP打印 Windows验证 LDAP验证电子邮件传送	SSL/TLS	安装设备证书。安装自签名证书/证书颁发机构颁发的证书使用SSL/TLS加密传输
电子邮件	S/MIME	安装用户证书。通过S/MIME加密从机器发送的电子邮件
机器管理数据	SNMPv3	指定加密密码。通过SNMPv3加密与机器管理软件通讯的数据
打印作业的验证信息	驱动程序加密密钥 IPP验证	指定驱动程序加密密钥指定IPP验证。加密打印作业的登录密码
Kerberos验证数据	因KDC服务器而不同	选择加密方式。加密KDC与机器之间的通讯

重要信息

管理员需要处理证书到期的情况，并在证书到期之前更新证书。
管理员需要检查证书颁发机构是否有效。

安装自签名证书/证书颁发机构颁发的证书

要加密与机器的通讯，请安装设备证书。

可以使用两种类型的设备证书：机器创建的自签名证书和证书颁发机构颁发的证书。当需要更高的可靠性时，请使用证书颁发机构颁发的证书。

从控制面板或Web Image Monitor安装设备证书。
您可以从控制面板仅安装一个自签名证书。要安装多个证书或证书颁发机构颁发的证书，请从Web Image Monitor指定设置。

从控制面板安装自签名证书

在控制面板上以网络管理员身份登录机器。

以管理员身份登录机器

在“主页”画面上，按[设置]。

在“设置”画面上，按[系统设置]。

按[对管理员进行设置][安全][注册／删除设备证书]。

选择[证书1]然后按[注册]。

指定要在证书中包括的信息。

通用名称：输入要创建的设备证书的名称。您必须输入名称。
电子邮件地址：要使用S/MIME的设备证书、PDF数字签名或PDF/A数字签名，请输入机器管理员的电子邮件地址。
指定组织、组织单位和其他必要的项目。

按[确定]。

按[退出]。

按[主页]（操作面板画面插图），然后从机器上注销。

从Web Image Monitor安装自签名证书/证书颁发机构颁发的证书

以网络管理员身份从Web Image Monitor登录机器。

以管理员身份登录机器

单击[设备管理]菜单上的[配置]。

在“安全”类别中，单击[设备证书]。

在“设备证书”画面上，遵循以下说明安装自签名证书或证书颁发机构颁发的证书：

要安装自签名证书

创建和安装自签名证书。

从列表中选择编号以创建自签名证书。
单击[创建]以指定必要的设置。
- 通用名称：输入要创建的设备证书的名称。您必须输入名称。
- 电子邮件地址：要使用S/MIME的设备证书、PDF数字签名或PDF/A数字签名，请输入机器管理员的电子邮件地址。
- 指定[组织]、[组织单位]和其他必要的项目。
单击[OK]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。
单击[OK]。
“已安装”显示在 [证书状态]中。

要安装证书颁发机构颁发的证书

从证书颁发机构请求一个设备证书，进行安装。所遵循步骤与安装中间证书相同。

从列表中选择一个编号以创建设备证书。
单击[申请]以指定必要的设置。
单击[OK]。
正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。
单击[OK]。
“正在申请”显示在[证书状态]中。
向证书颁发机构申请设备证书。
- 您无法从Web Image Monitor向证书颁发机构申请。申请程序视证书颁发机构而异。有关详细信息，请与证书颁发机构联系。
- 若需申请，请单击详细信息图标并使用[证书详细资料]画面上显示的信息。
- 如果您同时申请多个证书，则可能不会显示颁发位置。当您安装证书时，请务必检查证书目的地和安装步骤。
在证书颁发机构颁发设备证书后，请从“Device Certificate”画面上的列表中选择颁发证书的编号，然后单击[安装]。
在条目字段中输入设备证书的内容。
- 要同时安装中间证书，请也输入中间证书的内容。
- 如果未安装证书颁发机构颁发的中间证书，网络通讯期间会显示警告消息。当证书颁发机构已颁发了中间证书时，您必须安装中间证书。
单击[OK]。
“已安装”显示在 [证书状态]中。

完成安装后，在[证书]下为每种应用选择证书。

单击[OK]。

正在进行设置时会出现一条消息。在继续下一步之前，您可能需要稍等片刻。

单击[OK]。

退出机器，然后退出Web浏览器。

要使用IPP-SSL在机器中打印数据，用户必须在计算机中安装证书。通过IPP访问机器时，请为证书保存位置选择[受信任的根证书颁发机构]。
在使用Windows标准IPP端口时，若要更改设备证书的[通用名称]，请事先删除之前配置的PC打印机，并重新安装打印机驱动程序。此外，如果还要更改用户验证设置（登录用户名和密码），也请事先删除先前配置的PC打印机，更改用户验证设置，然后重新安装该打印机驱动程序。

使用SSL/TLS加密传输

SSL（安全套接字层）/TLS（传输层安全）是一种加密网络通讯的方法。SSL/TLS可防止数据被截获、破解或篡改。

SSL/TLS加密通讯流程图

用户计算机在访问机器时请求SSL/TLS设备证书和公钥。
设备证书和公共密钥从机器发送到用户计算机。
计算机创建的共享密钥将使用公钥进行加密并发送给机器，然后使用机器中的私钥进行解密。
共享密钥用于数据加密和解密，从而实现安全的传送。

要启用加密通讯，请提前在机器中安装设备证书。
要使用SSL/TLS加密通讯，请按以下所示启用SSL/TLS：

要检查是否启用了SSL/TLS配置，请在Web浏览器的地址栏中输入“https://（机器的IP地址或主机名）/”以访问本机。如果出现消息“无法显示该页”，说明当前SSL/TLS配置无效，请检查配置。
如果为IPP（打印机功能）启用了SSL/TLS，则系统会对发送的数据进行加密，从而防止数据被截取、分析或篡改。

启用SSL/TLS

以网络管理员身份从Web Image Monitor登录机器。

以管理员身份登录机器

单击[设备管理]菜单上的[配置]。

在[安全]类别中单击[SSL/TLS]。

在“SSL/TLS”上选择可启用加密通讯的协议，以指定有关通讯方式的详细信息。

允许SSL/TLS通信：选择下面的一种加密通讯模式：
- 密文优先级：创建了设备证书后执行加密通讯。如果不能加密，则机器以明文形式传送数据。
- 密文/明文：连接到机器时，使用“https”地址从Web浏览器执行加密通讯。连接到机器时，使用“http”地址以明文方式通讯。
- 仅限密文：仅允许加密通讯。如果由于某些原因无法加密，则机器无法通讯。如果发生这种情况，请在控制面板上按[系统设置][网络／接口][通信安全][允许SSL／TLS通信]，将通讯模式临时更改为 [密文／明文]，然后检查设置。
SSL/TLS版本：指定要启用或禁用的TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0与SSL 3.0。您必须至少启用其中一种协议。
加密强度设置：指定加密算法以应用到AES、CHACHA20、3DES和RC4。必须勾选其中一个复选框。
KEY EXCHANGE：指定是启用还是禁用RSA密钥交换。
DIGEST：指定是启用还是禁用SHA1 DIGEST。

单击[OK]。

退出机器，然后退出Web浏览器。

要使用SMTP服务器加密通信，请使用以下步骤将[使用安全连接（SSL）]更改为[开]。

根据您指定TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0与SSL 3.0的状态，机器可能无法连接到外部LDAP服务器。

为SMTP连接启用SSL

在控制面板上以网络管理员身份登录机器。

以管理员身份登录机器

在“主页”画面上，按[设置]。

在“设置”画面上，按[系统设置]。

按[发送（电子邮件／文件夹）][电子邮件][SMTP服务器]。

从使用安全连接（SSL）旁边的列表中，选择[开]。

完成配置后，端口号更改为465（SMTP over SSL）。当使用SMTP over TLS（STARTTLS）进行加密时，更改将端口号更改为587。
当您将端口号指定为465和587之外的编号时，按照SMTP服务器中的设置加密通讯。

按[确定]。

按[主页]（操作面板画面插图），然后从机器上注销。

SMTP服务器中启用了SSL时，始终通过SMTP服务器发送互联网传真。

通过S/MIME加密从机器发送的电子邮件

S/MIME（安全/多用途互联网邮件扩展）是提高电子邮件通讯安全性的加密方法。通过指定S/MIME，您可以发送附有加密文件或电子签名的加密电子邮件。

重要信息

若要使用S/MIME，您必须首先指定[系统设置][发送（电子邮件／文件夹）][电子邮件][管理员的电子邮件地址]

当您向客户端支持S/MIME的用户和客户端不支持S/MIME的用户发送电子邮件时，仅发送给支持S/MIME的客户端的电子邮件进行加密。
收件人必须使用支持S/MIME的软件。
您可以应用电子邮件加密或电子签名，或者一起使用两种功能。
发送附有电子签名的电子邮件时，无需用户证书。安装设备证书，然后指定要附加到电子邮件的电子签名。关于安装设备证书的详细信息，请参见以下部分：
安装自签名证书/证书颁发机构颁发的证书
使用S/MIME时，电子邮件大小会超过普通大小。
有关在扫描器功能中使用S/MIME的详细信息，请参见以下部分：
在发送扫描文档时将安全设置应用于电子邮件
关于在传真功能中使用S/MIME的详细信息，请参见以下部分：
在发送因特网传真时应用加密和使用签名以增强安全性

将用户证书注册到将接收电子邮件的用户。

要发送加密的电子邮件，首先将用户证书注册到将接收电子邮件的用户。

提前准备用户证书。您可以将三种类型的用户证书注册到机器：“DER编码十进制X.509”、“基本64编码X.509”和“PKCS #7证书”。

以用户管理员身份从Web Image Monitor登录机器。

以管理员身份登录机器

单击[设备设置]菜单上的[通讯簿]。

选择要安装证书的用户，然后单击[更改]选项卡上的[详细输入]。

在“电子邮件设置”类别中，指定必需的设置。

电子邮件地址：输入用户的电子邮件地址。
用户证书：单击[更改]并指定要使用的用户证书。

单击[OK]。

退出机器，然后退出Web浏览器。

使用以下步骤来指定要启用的加密的详细信息。

使用Web Image Monitor将用户证书安装到通讯簿时，如果证书文件包含多个证书，可能会出现一条错误信息。如果出现这种情况，则一次只安装一个证书。
选定的用户证书有效期过了以后，系统将无法再发送加密的消息。选择处于有效期内的证书。

配置加密算法和电子签名的附加

以网络管理员身份从Web Image Monitor登录机器。

以管理员身份登录机器

单击[设备管理]菜单上的[配置]。

单击[安全]类别中的“S/MIME”。

配置电子邮件加密和电子签名。

加密

加密算法：选择用于通过S/MIME加密电子邮件的共享密钥的加密算法。选择用户的电子邮件软件支持的加密算法。

签名

证书状态：显示为S/MIME指定的证书。
摘要算法：选择用于电子签名的摘要算法。
当通过扫描仪发送电子邮件时、当通过传真转送时、当通过传真发送电子邮件时、当通过电子邮件发送传真的传送结果时、当转送文件保存在服务器（实用程序）中时：指定在发送或传输电子邮件或文档时是否在每种功能中选择附加电子签名的方法。

操作模式

操作模式：选择检查证书有效期的时间。
- 执行优先：在选择地址时检查用户证书的有效期。按[开始]时检查设备证书的有效期。它不符合国际信息安全评估法规（CC验证），但它能够比选择[安全优先]时更快地响应用户。
- 安全优先：在您选择地址或按[开始]时检查有效期。在符合国际信息安全评估法规（CC认证）的条件下，需要一些时间来响应用户并正确执行。

单击[OK]。

退出机器，然后退出Web浏览器。

将电子签名附加到电子邮件时，管理员的电子邮件用在[来自]中，选定为[发件人]的用户的电子邮件地址用在[回复至]中。
如果证书在传送时有效，但在将电子邮件从邮件服务器提取到客户端计算机之前过期，则可能无法提取该电子邮件。
使用“记忆传送”或在指定时间自动发送电子邮件时，如果在证书有效期之外发生错误，则会以明文向发件人或管理员的电子邮件地址发送电子邮件来报告错误。当启用作业日志收集功能时，您可以在作业日志中查看错误详细信息。
收集日志
如果选定的设备证书已过期，则签名将无法附加到PDF。选择处于有效期内的证书。
可以连接到PDF/A文件的设备证书的数字签名的签名算法是“sha1WithRSA-1024”。

通过SNMPv3加密与机器管理软件通讯的数据

在通过网络使用Device Manager NX监控设备时，可以使用SNMPv3协议加密传输的数据。

在控制面板上以网络管理员身份登录机器。

以管理员身份登录机器

在“主页”画面上，按[设置]。

在“设置”画面上，按[系统设置]。

按[网络／接口][允许SNMPv3通信]。

从允许SNMPv3通信旁边的列表中，选择[仅限加密]。

按[确定]。

按[主页]（操作面板画面插图），然后从机器上注销。

要从Device Manager NX更改机器中指定的设置，请在[编入/更改管理员]中为网络管理员指定加密密码，然后将加密密码注册在Device Manager NX的SNMP账户中。
如果未指定网络管理员的[加密密码]设置，则可能无法加密或发送要传送的数据。有关指定网络管理员的加密密码设置的详细信息，请参见以下部分：
添加管理员或更改权限