Abrufen/Aktualisieren eines Zertifikats von einem SCEP-Server
Sie können von einem SCEP-Server (Simple Certificate Enrollment Protocol), der Zertifikate verwaltet, die Ausstellung eines Zertifikats anfordern, das für die mit dem Gerät erzeugten Schlüssel erforderlich ist. Zertifikate vom SCEP-Server werden automatisch im Gerät registriert. Um die Ausstellung eines Zertifikats anzufordern, sind Administrator-Rechte erforderlich.
Festlegen der Kommunikationseinstellungen des SCEP-Servers
Sie können festlegen, wie mit dem SCEP-Server kommuniziert werden soll.
1
Starten Sie die Remote-UI.
Starten von Remote UI2
Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung].
Remote UI-Bildschirm3
Klicken Sie auf [Geräteverwaltung]
[Einstellungen für Anforderung Zertifikatsausstellung (SCEP)].
4
Klicken Sie auf [Kommunikationseinstellungen].
5
Legen Sie die erforderlichen Kommunikationseinstellungen fest.
[SCEP-Serveradresse:] Geben Sie die URL des zu verknüpfenden SCEP-Servers an.
[Portnummer:] Geben Sie die Nummer des Ports an, über den die Kommunikation mit dem SCEP-Server stattfinden soll.
[Timeout Kommunikation:] Legen Sie die Timeout-Zeit für die Kommunikation mit dem SCEP-Server fest. Antwortet der SCEP-Server im angegebenen Zeitraum nicht, wird der Verbindungsversuch abgebrochen.
6
Klicken Sie auf [Aktualisieren].
|
Die Kommunikation über HTTPS wird nicht unterstützt. |
Anfordern der Ausstellung eines Zertifikats
Sie können die Ausstellung eines Zertifikats manuell anfordern.
1
Starten Sie die Remote-UI.
Starten von Remote UI2
Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung].
Remote UI-Bildschirm3
Klicken Sie auf [Geräteverwaltung]
[Einstellungen für Anforderung Zertifikatsausstellung (SCEP)].
4
Klicken Sie auf [Anforderung der Zertifikatsausstellung].
5
Legen Sie fest, welche Elemente erforderlich sind, um die Ausstellung eines Zertifikats anzufordern.
[Schlüsselname:] Geben Sie den Namen für den Schlüssel ein. Geben Sie einen Namen ein, den Sie leicht finden, wenn er in einer Liste angezeigt wird.
[Algorithmus Signatur:] Wählen Sie die für die Signatur zu verwendende Hash-Funktion.
[Schlüssellänge (Bit):] Wählen Sie die Schlüssellänge aus.
[Organisation:] Geben Sie den Namen der Organisation ein.
[Allgemeiner Name:] Geben Sie die IP-Adresse oder FQDN ein.
Wenn IPPS-Druck in einer Windows-Umgebung durchgeführt wird, geben Sie die IP-Adresse des Geräts ein.
Zur Eingabe des FQDN des Geräts muss ein DNS-Server angegeben sein. Wird kein DNS-Server verwendet, geben Sie die IP-Adresse des Geräts ein.
[Ausgestellt an (Alternativer Name)] Geben Sie ggf. die IP-Adresse oder die Domäne für den Subject Alternative Name (SAN) ein.
Wenn Sie die Einstellung [Ausgestellt an (Alternativer Name)] nicht konfigurieren, aktivieren Sie das Kontrollkästchen [Nicht einstellen].
Nur IPv4-Adressen können in [IP-Adresse] eingestellt werden.
[Challenge-Passwort:] Ist auf der Seite des SCEP-Servers ein Passwort vorgeschrieben, geben Sie das abzufragende Passwort, das in den Anforderungsdaten (PKCS#9) enthalten ist, ein, um die Ausstellung eines Zertifikats anzufordern.
[Ort der Schlüsselverwendung:] Wählen Sie aus, für welches Ziel der Schlüssel gelten soll. Wenn [IPSec] ausgewählt ist, wählen Sie aus der Dropdown-Liste den IPSec-Wert des Ziels.
Aktivieren Sie die verschiedenen Funktionen im Voraus, wenn Sie nicht [Keine] auswählen. Wird ein Zertifikat bei deaktivierten Funktionen erfolgreich abgerufen, wird das Zertifikat als Ziel zugewiesen, aber die verschiedenen Funktionen werden nicht automatisch aktiviert.
6
Klicken Sie auf [Anforderung senden].
7
Klicken Sie auf [Neustart].
|
Wenn [Timer für automatische Anforderung der Zertifikatsausstellung aktivieren] ausgewählt ist, lässt sich die Ausstellung eines Zertifikats nicht manuell anfordern. Geplante Ausstellung eines ZertifikatsDie hierin angegebenen Informationen werden nicht im Speicher des Geräts abgelegt. |
Geplante Ausstellung eines Zertifikats
Sie können festlegen, dass die Anforderung zur Ausstellung eines Zertifikats zu einem bestimmten Zeitpunkt automatisch erfolgt.
1
Starten Sie die Remote-UI.
Starten von Remote UI2
Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung].
Remote UI-Bildschirm3
Klicken Sie auf [Geräteverwaltung]
[Einstellungen für Anforderung Zertifikatsausstellung (SCEP)].
4
Klicken Sie auf [Einstellungen für automatische Anforderung der Zertifikatsausstellung].
5
Legen Sie fest, welche Elemente erforderlich sind, um die Ausstellung eines Zertifikats anzufordern.
[Timer für automatische Anforderung der Zertifikatsausstellung aktivieren] Wählen Sie diese Option, damit Zertifikate zu einem bestimmten Zeitpunkt automatisch angefordert werden, und geben Sie den Zeitpunkt in [Startzeit/Datum der Anforderung:] an.
[Zeit für Ausstellungsanforderung automatisch anpassen] Wählen Sie diese Option aus, um den Sendezeitpunkt der Anfrage zu justieren. Dadurch verringert sich die Last am SCEP-Server, sobald mehrere Multifunktionsdrucker gleichzeitig Anfragen senden. Der unter [Startzeit/Datum der Anforderung:] festgelegte Zeitpunkt wird zufällig um 1 bis 600 Sekunden verschoben.
[Abruf durchführen, wenn Kommunikationsfehler auftritt oder Ausstellungsanforderung verzögert ist] Wählen Sie diese Option, um den Status des SCEP-Servers zu prüfen, wenn sich ein Kommunikationsfehler ereignet hat oder wenn eine Anforderung zur Ausstellung eines Zertifikats noch aussteht. Legen Sie die Anzahl und das Intervall der Polling-Versuche fest.
In den folgenden Fällen kommt es nicht zum Polling, sondern zu einem Fehler.
Wenn die Anzahl der Schlüssel und Zertifikate erreicht ist, die das Gerät aufnehmen kann
Wenn die abgerufenen Antwortdaten einen Fehler enthalten
Wenn auf der Seite des SCEP-Servers ein Fehler auftritt
[Regelmäßige Ausstellungsanforderungen senden] Wählen Sie diese Option, um die Ausstellung eines Zertifikats regelmäßig automatisch anzufordern und legen Sie das Intervall in [Anforderungsintervall regelmäßig:] fest.
Sobald eine automatische Anforderung zur Ausstellung eines Zertifikats ergangen ist, wird der Zeitpunkt der nächsten Anforderung in [Uhrzeit/Datum der nächsten Anforderung:] angezeigt.
[Gerät nach Erhalt des Zertifikats automatisch neu starten] Wählen Sie diese Option, um das Gerät nach Abruf des Zertifikats neu zu starten.
Das Gerät wird sogar während Stapelimporten/-exporten neu gestartet.
[Alten Schlüssel und Zertifikat löschen] Wählen Sie diese Option, um die bisherige Schlüssel-Zertifikat-Kombination zu überschreiben.
Dadurch werden der Schlüssel und das Zertifikat, die ein gemeinsames Ziel hatten, überschrieben.
Der Standardschlüssel wird nicht überschrieben.
[Einstellungen für Schlüssel und auszustellendes Zertifikat] Geben Sie die Informationen für den zu erzeugenden Schlüssel ein. Weitere Informationen zu den Einstellungen finden Sie in Schritt 5 von
Anfordern der Ausstellung eines Zertifikats.
6
Klicken Sie auf [Aktualisieren].
Prüfen des Status einer Zertifikatanforderung
Das auf CSR-Basis angeforderte und ausgestellte Zertifikat wird im Schlüssel registriert.
Starten Sie Remote UI
klicken Sie auf [Einstellungen/Speicherung]
[Geräteverwaltung]
[Einstellungen für Anforderung Zertifikatsausstellung (SCEP)]
[Status der Anforderung der Zertifikatsausstellung].
In [Status] werden folgende Status angezeigt.
[Für Bearbeitung vorgemerkt]: Der Zeitpunkt der nächsten Anforderung wird in [Uhrzeit/Datum der Anforderung] angezeigt.
[In Bearbeitung]: Polling wird durchgeführt.
[Fehler]: Ein Fehler ist aufgetreten, z. B. im Kommunikationsablauf oder weil die maximale Anzahl an Schlüsseln erreicht ist.
[Erfolgreich]: Der Zeitpunkt der Ausstellung des Zertifikats wird in [Uhrzeit/Datum der Anforderung] angezeigt.
Die in [Details] unter [Fehler] angezeigten Informationen sind unten angegeben.
[Details] | Grund |
Verzögert | Der SCEP-Server gab den Status "Ausstehend" zurück. |
Limitfehler Schlüssel- und Zertifikatsregistrierung | Die Grenze für die Anzahl an Schlüsseln und Zertifikaten, die auf dem Gerät registriert werden können, wurde erreicht. |
Kommunikationsfehler (TCP-FEHLER) | Die Verbindung mit dem SCEP-Server ist fehlgeschlagen/ein Kommunikationstimeout ist aufgetreten. |
Kommunikationsfehler (HTTP-FEHLER <CODE>) | Ein HTTP-Fehler ist aufgetreten. |
Kommunikationsfehler (SCEP-FEHLER – Fehlerinformation 0: Nicht erkannter oder nicht unterstützter Algorithmus) | Unbekannter oder nicht unterstützter Algorithmus. |
Kommunikationsfehler (SCEP-FEHLER – Fehlerinformation 1: Fehler bei der Überprüfung der CMS-Nachrichtenintegrität) | Integritätsprüfung (d. h. die Überprüfung der Signatur der CMS-Meldungen) ist fehlgeschlagen. |
Kommunikationsfehler (SCEP-FEHLER – Fehlerinformation 2: Verbotene oder nicht unterstützte Transaktion) | Transaktion nicht zulässig oder nicht unterstützt. |
Kommunikationsfehler (SCEP-FEHLER – Fehlerinformation 3: Übermäßige Zeitdifferenz zwischen CMS-Signierungszeit und Systemzeit) | Das Attribut "signingTime" aus den CMS-authenticatedAttributes war nicht ausreichend nahe an der Systemzeit. |
Kommunikationsfehler (SCEP-FEHLER – Fehlerinformation 4: Es wurde kein Zertifikat identifiziert, das den vorgegebenen Kriterien entspricht.) | Es wurde kein Zertifikat ermittelt, das den angegebenen Kriterien entspricht. |
|
Der Verlauf für die letzten 20 Zertifikate wird angezeigt. Sobald diese Zahl 20 übersteigt, wird die älteste Information überschrieben. |
LINKS