管理鍵值對和數位憑證
為安全起見,本機器可以利用鍵值對和數位憑證,如基於IEEE802.1X連接埠的認證和TLS通訊。鍵值對和數位憑證安裝到本機器後,對其註冊使用,如下所述。
本機器註冊的鍵值對和數位憑證劃分為以下類型︰
鍵值和憑證
在基於IEEE802.1X連接埠的認證中,啟用用戶端裝置上的EAP-TLS方法需要使用PKCS#12格式的鍵值對(或專用鍵值和憑證)。若要從網路瀏覽器(遠端使用者介面)安全存取本機器或傳送/接收電子郵件和網際網路傳真,請生成鍵值對並設定鍵值對用於TLS通訊。最多可以註冊三個鍵值對。
CA憑證
CA憑證用於驗證從其他裝置(如伺服器、用戶端電腦等)傳送的數位憑證。最多可以註冊10個CA憑證(包括預先安裝的CA憑證)。
|
須知
|
|
憑證必須符合以下要求︰
格式:X.509版本1或版本3(DER二進位編碼)
簽章演算法︰SHA1-RSA、SHA256-RSA、SHA384-RSA*、SHA512-RSA*、MD5-RSA或MD2-RSA(對於CA憑證,還允許使用SHA1-DSA。)
鍵值長度︰512、1024、2048或4096位元(RSA)/2048或3072位元(DSA)
檔案副檔名︰「.p12」或「.pfx」(對於鍵值對檔案)/「.cer」或「.der」(對於CA憑證檔案)
*只有鍵值長度等於或大於1024位元時,才支援SHA384-RSA和SHA512-RSA。
本機器不使用憑證撤銷清單(CRL)驗證數位憑證。
|
|
注意
|
|
鍵值對和數位憑證可以從網路瀏覽器(遠端使用者介面)安裝。(管理工作和本機器資料)
鍵值對和數位憑證既可以使用控制面板註冊,也可以透過網路瀏覽器(遠端使用者介面)註冊。
|
生成TLS通訊的鍵值對
若要使用加密的TLS通訊從網路瀏覽器(遠端使用者介面)存取本機器或傳送/接收電子郵件和網際網路傳真,請按照如下所示生成鍵值對檔案。
1
按
(附加功能)→[系統設定]→[網路設定]。
(附加功能)→[系統設定]→[網路設定]。
2
按[TCP/IP設定]。
3
按[
]或[
]直到出現[憑證設定]→按[憑證設定]。
]或[]直到出現[憑證設定]→按[憑證設定]。
4
按[生成鍵值]。
5
命名鍵值對。
|
1
|
按[鍵值名稱]→使用螢幕鍵盤輸入鍵值對的名稱(最多24個字元)→按[確定]。
 |
|
2
|
按[下一層]。
|
6
指定簽章演算法和鍵值長度。
|
1
|
按「簽章演算法」下拉清單→按[SHA1]、[SHA256]、[SHA384]或[SHA512]選擇所需的雜湊演算法。
 須知:
只有鍵值長度等於或大於1024位元時,才支援SHA384和SHA512。
|
|
2
|
按「鍵值長度」下拉清單→按[512]、[1024]、[2048]或[4096]選擇所需的鍵值長度(以位元表示)。
|
|
3
|
按[下一層]。
|
7
指定憑證有效期的開始日期和結束日期。
|
1
|
按[有效期開始日期]→使用
 - (數字鍵)輸入憑證有效期的開始日期(月、日和年)。 |
|
2
|
按[有效期結束日期]→使用
-(數字鍵)輸入憑證有效期的結束日期(月、日和年)。須知:
為[有效期結束日期]設定的日期不能早於[有效期開始日期]。
|
|
3
|
按[下一層]。
|
8
指定自簽章伺服器憑證的詳細資訊→按[鍵值生成]生成鍵值對。
須知:
必須至少輸入一個下列項目。
需要使用DNS伺服器才能將本機器的FQDN用作通用名稱。
生成的鍵值對只有在設定為預設鍵值後才能用於TLS通訊。
指定以下項目︰
|
|
[國家/地區]︰
|
按下可以從清單中選擇國家/地區。若選擇[其他],可以透過使用螢幕鍵盤輸入網際網路國碼指定國家/地區。網際網路國碼由兩個大寫字母組成,如US、UK等。
|
|
[省區]︰
|
按下可以使用螢幕鍵盤輸入省區名稱(最多24個字元)。
|
|
|
[城市]︰
|
按下可以使用螢幕鍵盤輸入城市名稱(最多24個字元)。
|
|
|
[組織]︰
|
按下可以使用螢幕鍵盤輸入組織名稱(最多24個字元)。
|
|
|
[組織單位]:
|
按下可以使用螢幕鍵盤輸入組織單位(如部門等)的名稱(最多24個字元)。
|
|
|
[通用名稱]︰
|
按下可以使用螢幕鍵盤輸入本機器的IP位址或FQDN(最多48個字元)→按[確定]。
|
注意:
有關如何管理鍵值對的說明,請參閱檢查/刪除鍵值和憑證。
9
繼續設定TLS通訊的預設鍵值對。
有關說明,請參閱設定TLS通訊的預設鍵值。
註冊鍵值和憑證
若已經從網路瀏覽器(遠端使用者介面)將鍵值對(或專用鍵值和憑證)安裝到本機器,請按照以下所述註冊鍵值對。
1
按(附加功能)→[系統設定]→[網路設定]。
(附加功能)→[系統設定]→[網路設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟1。
2
按[TCP/IP設定]→按[]或[]直到出現[憑證設定]→按[憑證設定]。
]或[]直到出現[憑證設定]→按[憑證設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟2和3。
3
按[註冊鍵值和憑證]。
4
註冊所需鍵值和憑證。
|
1
|
選擇要註冊的鍵值對檔案→按[註冊]。
 注意:
最多可以註冊三個鍵值對。
若要刪除多餘的檔案,選擇檔案→按[刪除]→[是]。
|
|
2
|
按[鍵值名稱]→使用螢幕鍵盤輸入專用鍵值的名稱(最多24個字元)→按[確定]。
 |
|
3
|
按[密碼]→使用螢幕鍵盤輸入專用鍵值的密碼(最多24個字元)→按[確定]。
|
|
4
|
按[確定]。
|
5
重新啟動本機器。
關閉本機器電源,至少等待10秒鐘,然後開啟電源。
|
注意
|
|
有關如何管理已註冊鍵值對和憑證的說明,請參閱檢查/刪除鍵值和憑證。
|
檢查/刪除鍵值和憑證
可以顯示已註冊鍵值對的詳細資訊以及檢查已註冊鍵值對的當前使用狀況。刪除任何不必要的鍵值對檔案,包括已損壞或標記為無效的鍵值對檔案。
1
按(附加功能)→[系統設定]→[網路設定]。
(附加功能)→[系統設定]→[網路設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟1。
2
按[TCP/IP設定]→按[]或[]直到出現[憑證設定]→按[憑證設定]。
]或[]直到出現[憑證設定]→按[憑證設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟2和3。
3
按[鍵值和憑證清單]。
4
檢查或刪除所需鍵值和憑證。
|
須知
|
(無效),則其可能無效或已損壞。刪除無效或已損壞檔案後,生成或註冊新鍵值對。(若要顯示憑證的詳細資訊︰
|
1
|
選擇要檢查的鍵值和憑證→按[憑證詳細資訊]。
 顯示憑證詳細資訊。
 注意:
按[全部]顯示列表的全部資訊。
若按下[憑證驗證],本機器將檢查憑證是否存在錯誤。
|
若要檢查鍵值對的使用位置︰
|
1
|
選擇<使用>下標示了「開啟」的鍵值和憑證→按[顯示使用位置]。
 顯示「顯示使用位置」螢幕。
 |
若要刪除已註冊的鍵值對︰
|
1
|
選擇要刪除的鍵值對→按[刪除]。
 須知:
可能無法刪除清單中<使用>下標示了「開啟」的鍵值對。在這種情況下,按[顯示使用位置]檢查鍵值對的使用位置並執行以下操作︰
若鍵值對用於TLS,請禁用電子郵件/網際網路傳真和「遠端使用者介面」的TLS設定。(設定電子郵件/網際網路傳真功能、限制遠端使用者介面)
若鍵值對用於IEEE802.1X認證,請註冊新鍵值對並將其設定為預設鍵值。(註冊鍵值和憑證、選擇IEEE802.1X認證方法)可以刪除重置為「關閉」的鍵值對。
|
|
2
|
按[是]刪除所選檔案。
 要退出,按[否]。
|
|
3
|
重新啟動本機器。
關閉本機器電源,至少等待10秒鐘,然後開啟電源。
|
註冊CA憑證
除本機器預先安裝的X.509 CA憑證(DER)以外,還可以另外安裝CA憑證。若已經從網路瀏覽器(「遠端使用者介面」)將CA憑證安裝到本機器,請按照以下所述註冊憑證。
1
按(附加功能)→[系統設定]→[網路設定]。
(附加功能)→[系統設定]→[網路設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟1。
2
按[TCP/IP設定]→按[]或[]直到出現[憑證設定]→按[憑證設定]。
]或[]直到出現[憑證設定]→按[憑證設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟2和3。
3
按[註冊CA憑證]。
4
註冊CA憑證。
|
1
|
選擇要註冊的CA憑證檔案→按[註冊]。
 注意:
最多可以註冊10個CA憑證。
若要刪除多餘的檔案,選擇檔案→按[刪除]→[是]。
|
|
2
|
按[是]。
 |
5
重新啟動本機器。
關閉本機器電源,至少等待10秒鐘,然後開啟電源。
|
注意
|
|
有關如何管理已註冊的CA憑證,請參閱檢查/刪除CA憑證。
|
檢查/刪除CA憑證
可以顯示已註冊CA憑證的詳細資訊。也可以刪除不需要的CA憑證。
1
按(附加功能)→[系統設定]→[網路設定]。
(附加功能)→[系統設定]→[網路設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟1。
2
按[TCP/IP設定]→按[]或[]直到出現[憑證設定]→按[憑證設定]。
]或[]直到出現[憑證設定]→按[憑證設定]。有關說明,請參閱生成TLS通訊的鍵值對中的步驟2和3。
3
按[CA憑證清單]。
4
檢查或刪除所需CA憑證。
若要顯示CA憑證的詳細資訊︰
|
1
|
選擇要檢查的CA憑證→按[憑證詳細資訊]。
 顯示憑證詳細資訊。
 注意:
按[全部]顯示列表的全部資訊。
若按下[憑證驗證],本機器將檢查憑證是否存在錯誤。
|
若要刪除已註冊的CA憑證︰
|
1
|
選擇要刪除的CA憑證→按[刪除]。
 |
|
2
|
按[是]刪除所選檔案。
 要退出,按[否]。
|
|
3
|
重新啟動本機器。
關閉本機器電源,至少等待10秒鐘,然後開啟電源。
|