Zu Hauptinhalt springenKlicken Sie hier, um unsere Erklärung zur Barrierefreiheit einzusehen oder kontaktieren Sie uns bei Fragen zur Barrierefreiheit.

Installieren, Speichern oder Löschen von Sicherheitszertifikaten

Product support for
AltaLink B8045 / B8055 / B8065 / B8075 / B8090 Multifunction Printer
Article ID
KB0050856
Published
2019-11-05

HINWEIS: Diese Lösung muss von Systemadministratoren ausgeführt werden, da Netzwerkkenntnisse und Zugriffsberechtigung auf die Server erforderlich sind.  

Vor dem Konfigurieren eines Zertifikats den Abschnitt „Sicherheitszertifikat – Überblick“ lesen, dann die gewünschten Optionen auswählen.

  

Sicherheitszertifikat – Überblick

Installieren von Zertifikaten

Erstellen und Installieren eines Xerox-Gerätezertifikats

Installieren der Stammzertifizierungsstelle des Geräts

Installieren der Stammzertifizierungsstelle des Geräts auf einem PC

Installieren der Stammzertifizierungsstelle des Geräts auf mehreren Computern oder Servern

Einrichten einer Vertrauenskette für ein Unternehmen

Erstellen einer Zertifikatanforderung (CSR)

Hochladen eines von einer Zertifizierungsstelle signierten Gerätezertifikats

Installieren von Stammzertifikaten

Installieren von Domänencontrollerzertifikaten

Anzeigen, Speichern und Löschen von Zertifikaten

Angeben der Mindestlänge des Zertifikatschlüssels

Sicherheitszertifikat – Überblick

Ein digitales Zertifikat ist eine Datei, die Daten zur Überprüfung der Identität des Clients oder Servers in einer Netzwerktransaktion verwendet wird. Zertifikate enthalten einen öffentlichen Schlüssel zur Erstellung und Überprüfung digitaler Signaturen. Anhand eines vertrauenswürdigen Zertifikats kann von einem Gerät die Identität eines anderen überprüft werden. Auch ein von einer vertrauenswürdigen dritten Stelle signiertes Zertifikat zusammen mit einer digitalen Signatur zum Nachweis der Inhaberschaft kann als Identitätsnachweis dienen.

Ein digitales Zertifikat enthält folgende Daten:

  • Informationen zum Besitzer des Zertifikats

  • Seriennummer und Ablaufdatum des Zertifikats

  • Name und digitale Signatur der Zertifizierungsstelle (Certificate Authority, CA), von der das Zertifikat ausgestellt wurde

  • Einen öffentlichen Schlüssel

  • Zweck des Zertifikats und des öffentlichen Schlüssels

Es gibt vier Arten digitaler Zertifikate:

  • Ein Gerätezertifikat ist ein Zertifikat mit einem privaten Schlüssel für den Drucker. Der im Zertifikat angegebene Zweck sieht vor, dass es zum Identitätsnachweis verwendet werden kann.

  • Ein Zertifizierungsstellenzertifikat ist ein Zertifikat mit Berechtigung zum Signieren anderer Zertifikate.

  • Ein vertrauenswürdiges Zertifikat ist ein selbstsigniertes Zertifikat von einem anderen Gerät, dem vertraut wird.

  • Ein Domänencontrollerzertifikat ist ein selbstsigniertes Zertifikat für einen Domänencontroller in einem Netzwerk.   Domänencontrollerzertifikate werden zur Überprüfung der Identität eines Benutzers verwendet, wenn er sich mit einer Smartcard beim Drucker anmeldet.

Zurück zum Anfang

Zertifikate installieren:

Für die Kommunikation zwischen Drucker und anderen Geräten über eine sichere, vertrauenswürdige Verbindung müssen auf beiden Geräten bestimmte Zertifikate installiert sein.

Für Protokolle wie HTTPS agiert der Drucker als Server und muss dem Webbrowser auf dem Client seine Identität nachweisen. Für Protokolle wie 802.1X agiert der Drucker als Client und muss dem Authentifizierungsserver (in der Regel ein RADIUS-Server) seine Identität nachweisen.

Für Funktionen, für die diese Protokolle genutzt werden, die folgenden beiden Schritte durchführen:

  • Ein Gerätezertifikat auf dem Drucker installieren.

    Hinweis: Bei Verwendung von HTTPS wird automatisch ein Xerox-Gerätezertifikat erstellt und auf dem Drucker installiert.

  • Eine Kopie des CA-Zertifikats, das zur Signierung des Gerätezertifikats auf dem Drucker verwendet wurde, auf dem anderen Gerät installieren.

Bei Verwendung von Protokollen wie LDAP und IPsec müssen sich beide Geräte gegenseitig ausweisen.

Für Betriebsarten, bei denen diese Protokolle genutzt werden, die unter einer der folgenden Optionen aufgeführten Schritte durchführen:

Zertifikate installieren, Option 1:

  • Ein Gerätezertifikat auf dem Drucker installieren.

  • Eine Kopie des CA-Zertifikats, das zur Signierung des Gerätezertifikats auf dem Drucker verwendet wurde, auf dem anderen Gerät installieren.

  • Eine Kopie des CA-Zertifikats, das zur Signierung des anderen Zertifikats verwendet wurde, auf dem Drucker installieren.

Zertifikate installieren, Option 2:

Wird auf dem anderen Gerät ein selbstsigniertes Zertifikat verwendet, eine Kopie des vertrauenswürdigen Zertifikats des anderen Geräts auf dem Drucker installieren.

Zurück zum Anfang

Xerox-Gerätezertifikat erstellen und installieren:

Wenn kein Server verfügbar ist, der als Zertifizierungsstelle dient, ein Xerox-Gerätezertifikat auf dem Drucker installieren. Wird ein Xerox-Gerätezertifikat erstellt, generiert der Drucker ein Zertifikat, signiert es und erstellt einen öffentlichen Schlüssel für die SSL-Verschlüsselung. Nach der Installation des Xerox-Gerätezertifikats auf dem Drucker muss das ZS-Stammzertifikat auf allen Geräten installiert werden, die mit dem Drucker kommunizieren. Zu diesen Geräten gehören u. a. die Clients, von denen aus per Webbrowser über HTTPS auf das Gerät zugegriffen wird, und RADIUS-Authentifizierungsserver für 802.1X.

Die Installation des ZS-Stammzertifikats ermöglicht Folgendes:

  • Benutzer können auf den Drucker mithilfe von Embedded Web Server zugreifen.

  • Zertifikatwarnungen werden verhindert.

    Hinweis: Die Erstellung eines Xerox-Gerätezertifikats ist weniger sicher als die Erstellung eines Zertifikats, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

  1. Bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Auf die Registerkarte Xerox-Gerätezertifikat klicken.

  6. Neues Xerox-Gerätezertifikat erstellen auswählen.

  7. Formular mit den erforderlichen Informationen ausfüllen.

  8. Auf "Fertig stellen" klicken.

  9. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Die Stammzertifizierungsstelle des Geräts installieren:

Verwendet das Gerät das Xerox-Gerätezertifikat und versucht ein Benutzer, über Embedded Web Server auf das Gerät zuzugreifen, wird im Webbrowser des Benutzers eine Fehlermeldung angezeigt. Um zu verhindern, dass Fehlermeldungen angezeigt werden, die Stammzertifizierungsstelle des Geräts in den Webbrowsern aller Benutzer installieren.

Hinweis: Jeder Browser bietet eine Möglichkeit, Warnungen über nicht vertrauenswürdige Zertifikate bei Herstellung einer Verbindung zur Webseite eines Xerox-Geräts vorübergehend außer Kraft zu setzen. Bei Verwendung des Remote-Steuerpults funktioniert dieser Ausnahmevorgang nicht in allen Browsern. Es kann so aussehen, als könne der Browser keine Verbindung zum Remote-Steuerpult für das Gerät herstellen. Bei manchen Browsern ist die Herstellung einer Verbindung zum Remote-Steuerpult des Geräts nicht möglich. Zur Behebung dieses Problems das Gerätezertifikat installieren.

Zurück zum Anfang

Stammzertifizierungsstelle des Geräts auf einem PC installieren:

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Zum Speichern der Datei auf dem Computer auf Geräte-Stammzertifizierungsstelle herunterladen klicken.

  6. Die Datei im Zertifikatspeicher des Webbrowsers speichern. Weitere Informationen siehe Hilfe zum Webbrowser.  

    Hinweis:

    • Windows-Benutzer: Das Zertifikat in jedem Browser installieren, der zur Herstellung einer Verbindung zu einem Xerox-Gerät verwendet wird.

    • Mac-Benutzer: Das Zertifikat mit der Anwendung „Keychain“ installieren.

    • Die Stammzertifizierungsstelle des Geräts kann von der HTTP-Seite unter Einrichtung > Netzanschluss > Protokolle > HTTP heruntergeladen werden.

  7. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Stammzertifizierungsstelle des Geräts auf mehrere Computern oder Servern installieren:

Stammzertifizierungsstelle des Geräts mit einer Anwendung auf mehreren Computern installieren:

  1. Das Verfahren zum gleichzeitigen Aktualisieren mehrerer Browser oder Betriebssysteme bei der IT-Abteilung erfragen.

  2. Die Stammzertifizierungsstelle des Geräts von der Seite „Sicherheitszertifikate“ in Embedded Web Server herunterladen.

    1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

    2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

    3. Auf Zertifikate klicken.

    4. Auf Sicherheitszertifikate klicken.

    5. Auf Geräte-Stammzertifizierungsstelle herunterladen klicken.

    6. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  3. Das Zertifikat zur Verteilung an die IT-Abteilung senden.

Zurück zum Anfang

Eine Vertrauenskette für ein Unternehmen konfigurieren:

  1. Das Verfahren zum Abrufen einer Zertifikatsignaturanforderung (CSR) bei der IT-Abteilung erfragen. Eine CSR wird für jedes Gerät benötigt, das vom Stammzertifikat eines Unternehmens signiert wird.

  2. Die CSR von der Seite „Sicherheitszertifikate“ in Embedded Web Server herunterladen.

    1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

    2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

    3. Auf Zertifikate klicken.

    4. Auf Sicherheitszertifikate klicken.

    5. Auf Anforderung einer Zertifikatsignatur (CSR) erstellen klicken.

    6. Auf der Seite „Anforderung einer Zertifikatsignatur (CSR) erstellen“ die erforderlichen Informationen eingeben und Optionen auswählen.

    7. Auf "Fertig stellen" klicken.

    8. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  3. Die CSR mit dem Server für Zertifikatsignaturen der jeweiligen IT-Abteilung verarbeiten.

  4. Das resultierende signierte Gerätezertifikat auf jedem Xerox-Gerät installieren.

Zurück zum Anfang

Anforderung einer Zertifikatsignatur erstellen:

Wird kein Xerox-Gerätezertifikat installiert, kann ein von einer Zertifizierungsstelle signiertes Gerätezertifikat installiert werden. Eine Anforderung einer Zertifikatsignatur (CSR) erstellen und zum Signieren an eine Zertifizierungsstelle oder einen lokalen Server, der als Zertifizierungsstelle fungiert, übermitteln. Windows Server 2008 mit Zertifikatsdiensten ist ein Beispiel für einen Server, der als Zertifizierungsstelle dient. Das von der Zertifizierungsstelle signierte Zertifikat auf dem Drucker installieren.

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Auf die Registerkarte Von Zertifizierungsstelle signierte(s) Gerätezertifikat(e) klicken.

  6. Anforderung einer Zertifikatsignatur (CSR) erstellen auswählen.

  7. Ländercode (2 Buchstaben), Bundesland, Ort, Organisation, Organisationseinheit und E-Mail-Adresse eintragen.

  8. Ggf. Alternativname Zertifikatempfänger wählen, dann den MS-UPN (Universal Principal Name) eingeben.

    Hinweis: Der „Alternativname Zertifikatempfänger“ ist nur erforderlich, wenn 802.1XEAP/TLS für Windows-Clients oder -Server verwendet wird.

  9. Auf "Fertig stellen" klicken.

  10. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Von einer Zertifizierungsstelle signiertes Gerätezertifikat hochladen:

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Auf die Registerkarte Von Zertifizierungsstelle signierte(s) Gerätezertifikat(e) klicken.

  6. Auf Zertifikat installieren klicken.

  7. Auf Durchsuchen oder Datei auswählen klicken und das signierte Zertifikat im Format .pem oder PKCS#12 ansteuern.

  8. Auf Öffnen oder Auswählen klicken.

  9. Auf "Weiter" klicken.

  10. Wenn das Zertifikat durch ein Kennwort geschützt ist, Kennwort eingeben und durch erneute Eingabe bestätigen.

  11. Zur künftigen Identifikation des Zertifikats einen Anzeigenamen eingeben.

  12. Auf "Weiter" klicken.

    Hinweis:

    • Das signierte Zertifikat kann einer ausstehenden Zertifikatsignaturanforderung (CSR) entsprechen, die vom Gerät erstellt wurde.

    • Das signierte Zertifikat kann ein PKCS#12-Zertifikat sein, das von einer Zertifizierungsstelle erstellt wurde.



  13. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Stammzertifikate installieren:

Es ist möglich, die Zertifikate der Stammzertifizierungsstelle und die Zwischenzertifikate des eigenen Unternehmens zu installieren. Zudem können selbstsignierte Zertifikate von beliebigen anderen Geräten im Netzwerk installiert werden.

Es werden folgende Codierungen und Dateierweiterungen unterstützt:

  • Distinguished Encoding Rules (.cer, .crt, .der)

  • Privacy Enhanced Mode/Base64 (.pem)

  • PKCS#7 (.p7b)

  • PKCS#12 (.pfx, .p12

    Hinweis: Zum Importieren eines von einer Zertifizierungsstelle signierten Gerätezertifikats das Format PKCS#12 wählen.

Stammzertifikat installieren:

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Auf die Registerkarte Vertrauenswürdige(s) Stamm-/Zwischenzertifikat(e) klicken.

  6. Auf "Zertifikat installieren" klicken.

  7. Auf Durchsuchen oder Datei auswählen klicken und zu einem signierten Zertifikat navigieren.

  8. Auf Öffnen oder Auswählen klicken.

  9. Auf "Weiter" klicken.

  10. Zur künftigen Identifikation des Zertifikats einen Anzeigenamen eingeben.

  11. Auf "Weiter" klicken. Das digitale Zertifikat erscheint in der Liste der installierten Zertifikate.

  12. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Domänencontrollerzertifikate installieren:

Selbstsignierte Zertifikate können von beliebigen Domänencontrollern im Netzwerk installiert werden.

Es werden folgende Codierungen und Dateierweiterungen unterstützt:

  • Distinguished Encoding Rules (.cer, .crt, .der)

  • Privacy Enhanced Mode/Base64 (.pem)

  • PKCS#12 (.pfx, .p12

    Hinweis: Zum Importieren eines von einer Zertifizierungsstelle signierten Gerätezertifikats das Format PKCS#12 wählen.

Domänencontrollerzertifikat installieren:

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate klicken.

  4. Auf Sicherheitszertifikate klicken.

  5. Zur Registerkarte Domänencontrollerzertifikat(e) wechseln.

  6. Auf "Zertifikat installieren" klicken.

  7. Auf Durchsuchen oder Datei auswählen klicken und zu einem signierten Zertifikat navigieren.

  8. Auf Öffnen oder Auswählen klicken.

  9. Auf "Weiter" klicken.

  10. Zur künftigen Identifikation des Zertifikats einen Anzeigenamen eingeben.

  11. Auf "Weiter" klicken. Das digitale Zertifikat erscheint in der Liste der installierten Zertifikate.

  12. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Anzeigen, Speichern und Löschen von Zertifikaten:

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Auf der Seite "Sicherheitszertifikate" auf eine Zertifikatstyp-Registerkarte klicken.

  3. Zum Anzeigen oder Speichern eines Zertifikats auf die Aktion Anzeigen/Exportieren klicken. Die Zertifikatdetails werden auf der Seite „Zertifikat anzeigen/speichern“ angezeigt.

  4. Zum Speichern der Zertifikatdatei auf dem Computer auf Mit Bas-64-Codierung exportieren (PEM) klicken.

  5. Um zur Seite „Sicherheitszertifikate“ zurückzukehren, auf Schließen klicken.

  6. Zum Löschen eines Zertifikats das Kontrollkästchen neben dem Zertifikatnamen markieren und auf Ausgewählte löschen klicken. 

    Hinweis: Das Standard-Xerox-Gerätezertifikat kann nicht gelöscht werden.

  7. Zum Löschen aller Zertifikate mit Ausnahme des Standard-Xerox-Gerätezertifikats auf Auf werkseitige Gerätestandardeinstellungen zurücksetzen klicken.

  8. Ggf. mit dem nächsten Abschnitt fortfahren. Anschließend vom Systemadministratormodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang

Mindestlänge des Zertifikatschlüssels angeben:

Die Mindestlänge der RSA Verschlüsselungsschlüssel für Zertifikate kann angegeben werden. Wenn ein Benutzer versucht, ein Zertifikat hochzuladen, das einen RSA Schlüssel enthält, der dieser Anforderung nicht entspricht, wird eine Meldung angezeigt. Die Meldung weist den Benutzer darauf hin, dass das Zertifikat die Anforderung an die Schlüssellänge nicht erfüllt.

Werden Zertifikate mit einer Smartcard verwendet, sicherstellen, dass die Einstellungen auf dem Gerät nicht mit der Smartcard im Konflikt stehen. Beispiel: Verwendet die Smartcard 1024-Bit-RSA-Zertifikate, auf dem Gerät kein Minimum von 2048 angeben.

  1. Ggf. bei Embedded Web Server als Systemadministrator anmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

  2. Im Bereich Embedded Web Server auf Eigenschaften>Sicherheit klicken.

  3. Auf Zertifikate > Länge des Zertifikatschlüssels klicken.

  4. Unter „Mindestlänge des RSA Verschlüsselungsschlüssels“ die Option 1024-Bit, 2048-Bit oder Kein Minimum wählen.

  5. Auf "Übernehmen" klicken.

  6. Vom Verwaltungsmodus abmelden. Um weitere Informationen zu erhalten, hier klicken: Zugriff auf Embedded Web Server als Systemadministrator.

Zurück zum Anfang