Konfigurace klíče a certifikátu pro TLS
Na stroji můžete používat šifrovanou komunikaci TLS a zabránit tak škodlivým útokům, jako je sniffing (falšování), spoofing (odposlech) a tampering (nepovolené úpravy) dat při jejich výměně mezi strojem a jinými zařízeními, jako jsou například počítače. Při konfiguraci nastavení pro šifrovanou komunikaci TLS musíte zadat klíč a certifikát (serverový certifikát), který chcete používat pro šifrování. Použít můžete klíč a certifikát nainstalovaný ve stroji, můžete si vygenerovat vlastní klíč a certifikát nebo je můžete získat od certifikační autority. Pro zadání těchto nastavení jsou vyžadována přístupová práva administrátora nebo administrátora sítě NetworkAdmin.
|
|
|
Chcete-li použít klíč a certifikát, které si sami vygenerujte, vygenerujte je před provedením níže uvedeného postupu. Generování klíče a certifikátu pro síťovou komunikaci
Chcete-li použít klíč a certifikát, které získáte od certifikační autority (CA), uložte je před provedením níže uvedeného postupu. Uložení klíče a certifikátu
|
Nastavení TLS
1
Stiskněte 
(Nastav./Uložit).
(Nastav./Uložit).2
Stiskněte <Možnosti> 
<Síť> <Nastavení TCP/IP> <Nastavení TLS>.
<Síť> <Nastavení TCP/IP> <Nastavení TLS>.3
Stiskněte tlačítko <Klíč a certifikát>.
4
Vyberte klíč a certifikát, který chcete používat pro šifrovanou komunikaci TLS, a stiskněte <Nastavit jako výchozí klíč> <Ano>.
<Ano>.
Chcete-li používat předinstalovaný klíč a certifikát, vyberte <Default Key>.
Šifrovaná komunikace TLS nemůže používat <Device Signature Key> používaný pro podpis zařízení nebo <AMS> používaný pro omezení přístupu.
5
Stiskněte tlačítko <OK>.
6
Stiskněte tlačítko <Zadat povolenou verzi>.
7
Zadejte <Maximální verze> a <Minimální verze> stiskněte <OK>.
stiskněte <OK>.8
Vyberte nastavení pro každý algoritmus.
9
Vyberte algoritmus, který chcete použít, stiskněte <OK>.
stiskněte <OK>.Příklad: Pokud je vybrána možnost <Nas. šifrovacího algoritmu>
Zobrazené položky se mohou lišit v závislosti na algoritmu.
Jsou dostupné následující kombinace verze TLS a algoritmu.
: Lze použít-: Nelze použít
|
Algoritmus
|
Verze TLS
|
|||
|
<TLS 1.3>
|
<TLS 1.2>
|
<TLS 1.1>
|
<TLS 1.0>
|
|
|
<Nas. šifrovacího algoritmu>
|
||||
|
<AES-CBC (256-bit)>
|
-
|
|
|
|
|
<AES-GCM (256-bit)>
|
|
|
-
|
-
|
|
<3DES-CBC>
|
-
|
|
|
|
|
<AES-CBC (128-bit)>
|
-
|
|
|
|
|
<AES-GCM (128-bit)>
|
|
|
-
|
-
|
|
<CHACHA20-POLY1305>
|
|
-
|
-
|
-
|
|
<Nast. algoritmu výměny klíčů>
|
||||
|
<RSA>
|
-
|
|
|
|
|
<ECDHE>
|
|
|
|
|
|
<X25519>
|
|
-
|
-
|
-
|
|
<Nast. algoritmu podpisu>
|
||||
|
<RSA>
|
|
|
|
|
|
<ECDSA>
|
|
|
|
|
|
<Nast. HMAC algoritmu>
|
||||
|
<SHA1>
|
-
|
|
|
|
|
<SHA256>
|
|
|
-
|
-
|
|
<SHA384>
|
|
|
-
|
-
|
10
Stiskněte (Nastav./Uložit) (Nastav./Uložit) <Použít změny nast.> <Ano>.
(Nastav./Uložit) (Nastav./Uložit) <Použít změny nast.> <Ano>.Stroj se restartuje a budou se používat provedená nastavení.
|
Spuštění Vzdáleného UR s funkcí TLS
|
|
Pokud zkoušíte spustit Vzdálené UR, když je povoleno TLS, může se zobrazit upozornění zabezpečení ohledně certifikátu zabezpečení. V takovém případě zkontrolujte, že je do pole adresy zadána správná adresa URL a poté zobrazte obrazovku Vzdáleného UR. Spuštění Remote UI (Vzdálené UR)
|
Nastavení síly zabezpečení a způsobu šifrování
1
Stiskněte (Nastav./Uložit).
(Nastav./Uložit).2
Stiskněte <Nastavení správy> <Nast. zabezpečení> <Nastavení šifrování>.
<Nast. zabezpečení> <Nastavení šifrování>.3
Nakonfigurujte nastavení šifrování a způsob šifrování.
<Zakázat použití slabého šifrování>
Chcete-li zakázat použití slabého šifrování s délkou klíče 1024 bitů nebo méně, nastavte tuto možnost na <Zap>. Chcete-li zakázat použití klíčů a certifikátů používajících slabé šifrování, nastavte možnost <Zakázat použití klíče/certifikátu při slabém šifrování> na <Zap>.
<Formátovat způsob šifrování na FIPS 140-2>
Pokud chcete, aby funkce používající šifrování splňovaly požadavky normy FIPS 140-2, nastavte tuto možnost na <Zap>.
|
|
|
Pokud nastavíte <Formátovat způsob šifrování na FIPS 140-2> na <Zap>, můžete zajistit, aby způsob šifrování komunikace TLS splňoval požadavky americké normy FIPS (Federal Information Processing Standards) 1402. Platí však následující omezení.
Pokud pro TLS zadáte certifikát používající algoritmus, který norma FIPS neuznává (nižší než RSA2048bit), dojde k chybě.
Pokud cíl komunikace nepodporuje šifrovací algoritmy uznávané normou FIPS, dojde k chybě komunikace.
<CHACHA20-POLY1305> a <X25519> už nelze použít
|