hp-support-head-portlet

動作
正在載入...
HP 顧客貼心服務 - 知識庫

hp-contact-secondary-navigation-portlet

動作
正在載入...

hp-share-print-widget-portlet

動作
正在載入...

hp-concentra-wrapper-portlet

動作
正在載入...

HP Web Jetadmin - 在 HP Web Jetadmin 伺服器上啟用 FIPS

在 HP Web Jetadmin 伺服器上啟用 FIPS

只在您升級為 HP Web Jetadmin 10.4 或更新版本,才可以啟用美國聯邦資訊處理標準 (FIPS)。此主題提供有關升級 HP Web Jetadmin,對 HP Web Jetadmin 設定進行必要的變更,然後啟用 FIPS 的指示。這些指示必須以提供的順序執行。
在啟用 FIPS 之後,會封鎖 MD5 和 DES 通訊協定。啟用 FIPS 之後,仍然可透過 SNMPv1/SNMPv2 進行通訊。
升級為 HP Web Jetadmin 10.4 或更新版本
  1. 在 HP Web Jetadmin 伺服器上,前往 www.hp.com/go/webjetadmin,然後下載 HP Web Jetadmin 軟體。
  2. 按兩下 EXE 檔案。
  3. 按照精靈中的指示執行。
  4. 如果安裝停止並警告需要重新啟動,請重新啟動 HP Web Jetadmin 伺服器。重新啟動安裝程式以繼續安裝。
  5. 安裝完成時,按一下「完成」按鈕。
對 HP Web Jetadmin 和裝置上的設定進行必要的變更
如果您省略下列步驟,在啟用 FIPS 之後,HP Web Jetadmin 可能無法與裝置通訊。針對這些裝置,HP Web Jetadmin 會顯示「裝置通訊錯誤」狀態。
  1. 如果 HP Web Jetadmin 使用指定 MD5 和 DES 通訊協定的 SNMPv3 認證,已搜尋到的裝置,在啟用 FIPS 之後,與這些裝置的 SNMP 通訊將無法運作。這些裝置的 SNMPv3 認證必須變更為 SHA-1 和 AES-128 通訊協定。然而,您無法使用 HP Web Jetadmin 以判斷裝置的 SNMPv3 認證是否使用 MD5 和 DES 通訊協定。
    請依照下列步驟,在所有使用 SNMPv3 的裝置上更新 SNMPv3 認證:
    1. 裝置管理導覽窗格中,以滑鼠右鍵按一下「設定」,然後選擇「建立設定範本」。「建立裝置設定範本」精靈隨即啟動。
    2. 選擇範本型號頁面上,選擇要設定的裝置機型並按一下向右箭頭按鈕。
    3. 選擇要設定的網路卡,並按一下向右箭頭按鈕。
    4. 按一下「下一步」按鈕。
    5. 在「指定範本選項」頁面上的「名稱」方塊中,輸入範本的名稱(最多 48 個字元)。
    6. 在「裝置設定」導覽窗格中,移至「安全性」>「SNMP 版本存取控制」。
    7. 選擇「修改 SNMPv3」選項。
    8. 在「目前的 SNMPv3 認證」區段中,輸入目前已針對 SNMPv3 設定的使用者名稱、驗證通訊協定、驗證密碼短語、隱私權通訊協定和隱私權密碼短語。目前的 SNMPv3 認證是必要的。
    9. 在「新的 SNMPv3 認證」區段中,從「驗證通訊協定」清單中選擇「SHA-1」,並從「隱私權通訊協定」清單中選擇「AES-128」。
    10. 如果需要,請輸入使用者名稱、驗證密碼短語和隱私權密碼短語的新值。
        敬告:
      若要變更驗證與隱私權密碼短語,即使全域 SNMPv3 認證已儲存在 HP Web Jetadmin,裝置設定範本中也必須指定目前的密碼短語。如果未指定目前的密碼短語,設定就會失敗。
    11. 按一下「下一步」按鈕。
    12. 在「確認」頁面上,檢查資訊是否正確,然後按一下「建立範本」按鈕。
    13. 在「結果」頁面上,按一下「完成」按鈕。
    14. 在「裝置管理」導覽窗格中,以滑鼠右鍵按一下「設定」,然後選擇「套用設定範本」。「套用裝置設定範本」精靈隨即啟動。
    15. 從清單中選擇您剛才建立的裝置設定範本,然後按一下「下一步」按鈕。
    16. 從「選擇裝置」頁面上的「可用裝置」清單中,選擇要設定的裝置,然後按一下 > 按鈕。
    17. 按一下「下一步」按鈕。
    18. 在「確認」頁面上,檢查資訊是否正確,然後按一下「套用範本」按鈕。
    19. 在「結果」頁面上,按一下「完成」按鈕。
  2. 請依照下列步驟,刪除使用 MD5 和 DES 通訊協定的 SNMPv3 全域認證:
    1. 移至「工具」>「選項」>「共用」>「認證」>「裝置」>「SNMPv3」。
    2. 從清單中選擇使用 MD5 和 DES 通訊協定的 SNMPv3 認證,然後按一下「移除」按鈕。
    3. 在「確認刪除」視窗中,按一下「」按鈕。
    4. 針對每個使用 MD5 和 DES 通訊協定的 SNMPv3 認證,重複步驟 b 到 c。
  3. 執行搜尋以重新搜尋所有 SNMPv3 設定裝置。
  4. 在啟用 FIPS 之後,設為使用 MD5 和 DES 通訊協定之 SNMPv3 認證的設陷轉送將無法運作。使用下列其中一個程序,將設定為轉送 SNMP 設陷至伺服器的警示訂閱,更新為使用 SHA-1 和 AES-128 通訊協定的 SNMPv3 認證。
    注意:
    設定為警示發生時僅將警示寫入警示歷程記錄或傳送電子郵件通知的警示訂閱,則不需要更新。
    更新已使用警示訂閱範本所建立且設定為轉送 SNMP 設陷的警示訂閱
    1. 在「裝置管理」導覽窗格中,移至「警示」>「所有訂閱」。
    2. 在「所有訂閱」窗格頂端,按一下「全部展開」按鈕以顯示每個警示訂閱的詳細資料。
    3. 若要識別必須更新的警示訂閱範本,請查看「通知類型」欄中有「SNMPv3 設陷轉送」且在「連接到範本」欄中有「已連結」的警示。警示訂閱範本的名稱顯示在「訂閱名稱」欄中。
    4. 在「裝置管理」導覽窗格中,移至「警示」>「範本」。
    5. 從「警示 - 訂閱範本」窗格中,從清單選擇警示訂閱範本,然後按一下「編輯」按鈕。「編輯訂閱範本」精靈隨即啟動。
    6. 按一下「下一步」按鈕,直到「指定通知設定值」頁面出現。
    7. 在「SNMPv3 認證」區段中,從「驗證通訊協定」清單中選擇「SHA-1」,並從「隱私權通訊協定」清單中選擇「AES-128」。
    8. 如果需要,請輸入使用者名稱、驗證密碼短語和隱私權密碼短語的新值。
    9. 按一下「下一步」按鈕,直到「確認」頁面出現。
    10. 在「確認」頁面上,檢查資訊是否正確,然後按一下「儲存範本」按鈕。
    11. 在「結果」頁面上,按一下「完成」按鈕。
      所有連結到此警示訂閱範本的警示訂閱都會自動更新成新的 SNMPv3 認證。
    12. 針對每個警示訂閱範本重複步驟 c 到 k。
    更新未使用警示訂閱範本的情況下建立而設定為轉送 SNMP 設陷的警示訂閱
    1. 在「裝置管理」導覽窗格中,移至「警示」>「所有訂閱」。
    2. 從「所有訂閱」窗格中的清單選擇警示訂閱,然後按一下「編輯訂閱」按鈕。「編輯訂閱」精靈隨即啟動。
    3. 按一下「下一步」按鈕,直到「指定通知設定值」頁面出現。
    4. 在「SNMPv3 認證」區段中,從「驗證通訊協定」清單中選擇「SHA-1」,並從「隱私權通訊協定」清單中選擇「AES-128」。
    5. 如果需要,請輸入使用者名稱、驗證密碼短語和隱私權密碼短語的新值。
    6. 按一下「下一步」按鈕,直到「確認」頁面出現。
    7. 在「確認」頁面上,檢查資訊是否正確,然後按一下「編輯訂閱」按鈕。
    8. 在「結果」頁面上,按一下「完成」按鈕。
    9. 對於未使用警示訂閱範本的情況下建立的每個警示訂閱,重複步驟 b 到 h。
    -或-
    如果這些警示訂閱未來有任何變更,所有警示訂閱都必須變更。為了在未來防止這種情況,HP 建議依照下列步驟建立連結到警示訂閱範本的新警示訂閱:
    1. 在「裝置管理」導覽窗格中,移至「警示」>「所有訂閱」。
    2. 從「所有訂閱」窗格中的清單選擇警示訂閱,然後按一下「取消訂閱」按鈕。「刪除警示訂閱」精靈隨即啟動。
    3. 在「確認」頁面上,按一下「取消訂閱」按鈕。
    4. 在「結果」頁面上,按一下「完成」按鈕。
    5. 在「裝置管理」導覽窗格中,移至「警示」>「範本」。
    6. 從「警示 - 訂閱範本」窗格中,從清單選擇警示訂閱範本,然後按一下「套用」按鈕。「套用警示訂閱範本」精靈隨即啟動。
      注意:
      如果沒有警示訂閱範本,請建立符合您特定需求的警示訂閱範本。
    7. 從「選擇裝置」頁面上的「可用裝置」清單中,選擇裝置,然後按一下 > 按鈕。
    8. 按一下「下一步」按鈕。
    9. 若要將選定的警示訂閱範本連結至此警示訂閱,選擇「連結範本至訂閱」選項。選定警示訂閱範本的變更不會自動套用至與此警示訂閱關聯的裝置。
      - 或 -
      若要建立未連結到選定警示訂閱範本的警示訂閱,選擇「不要連結範本至訂閱」選項,然後在「訂閱名稱」方塊中輸入此警示訂閱的名稱。警示訂閱範本的變更不會套用至先前使用此警示訂閱範本所設定的裝置。
    10. 按一下「下一步」按鈕。
    11. 在「確認」頁面上,檢查資訊是否正確,然後按一下「套用範本」按鈕。
    12. 在「結果」頁面上,按一下「完成」按鈕。
    13. 對於未使用警示訂閱範本的情況下建立的每個警示訂閱,重複步驟 b 到 l。
  5. 在啟動 HP Web Jetadmin 用戶端所在的用戶端機器上,請依照下列步驟啟用 TLS 通訊協定:
    1. 開啟 Internet Explorer 瀏覽器。
    2. 移至「工具」>「網際網路選項」,然後按一下「進階」索引標籤。
    3. 向下捲動至「安全性」區段,然後針對一或多個 TLS 版本(TLS 1.0、TLS 1.1 和 TLS 1.2)選擇核取方塊。
  6. 請依照下列步驟,確認裝置已設定為可使用 TLS 通訊協定進行通訊:
    1. 從任何裝置清單中選擇裝置。
    2. 在「設定」索引標籤,移至「網路」>「管理協定」。
    3. 確認已啟用 TLS(TLS 1.0、TLS 1.1 和 TLS 1.2)的任何版本。
    4. 針對每個裝置重複步驟 a 到 c。
  7. 請依照下列步驟啟用裝置上的 FIPS-140 模式。啟用 FIPS-140 模式僅影響下列裝置設定選項:
    • SNMP 版本存取控制」設定選項:必須設定 SHA-1 驗證通訊協定和 AES-128 隱私權通訊協定。
    • 管理協定」設定選項:必須啟用 TLS 1.0、TLS 1.1 或 TLS 1.2 通訊協定。
    注意:
    下列步驟不是必要的。然而,您可以依照這些步驟來排除任何 FIPS 相關的問題。
    1. 從任何裝置清單中選擇裝置。
    2. 在「設定」索引標籤,移至「安全性」>「FIPS-140 模式」。
    3. 選擇 已啟用選項。
    4. 按一下「套用」按鈕。
    5. 針對每個裝置重複步驟 a 到 d。
    如果在裝置上設定下列任何裝置設定選項,該裝置的 FIPS-140 模式啟用將會失敗:
    • SNMP 版本存取控制」設定選項:不可指定 MD5 驗證以及 DES 隱私權通訊協定。
    • IPsec/防火牆原則」設定選項:Kerberos 設定不可指定 DES-CBC-MD5 演算法。
    • 上傳 Jetdirect 憑證」設定選項:不可使用 MD5 或更早版本(MD2 或 MD4)來簽署憑證。
    • 上傳 CA 憑證」設定選項:不可使用 MD5 或更早版本(MD2 或 MD4)來簽署憑證。
    • 管理協定」設定選項:不可啟用 SSL 3.0 或更早版本的通訊協定。
    HP Web Jetadmin 不會回報失敗的確切原因。然而,如果您使用裝置 HP 嵌入式 Web 伺服器 (EWS) 啟用 FIPS-140 模式,EWS 就會回報失敗的確切原因。FIPS-140 模式設定位於 EWS「網路」索引標籤 >「安全性」連結 >「設定」頁面。
在 HP Web Jetadmin 伺服器上啟用 FIPS
  1. 停止下列服務。這些服務必須以指定的順序停止。
    1. HPWSProAdapter
    2. HPWJAService
    3. mssql$HPWJA
  2. 請依照下列步驟,在 HP Web Jetadmin 伺服器上啟用 FIPS 做為本機安全性原則:
    注意:
    如需有關「系統加密編譯」設定的詳細資訊,請參閱「「系統加密編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章」在 Windows XP 及 Windows 更新版本中的安全性設定影響」文件。此文件可從 Microsoft 支援頁面取得。
    1. 移至「控制台」>「系統管理工具」>「本機安全性原則」>「本機原則」>「安全性選項」。
    2. 以滑鼠右鍵按一下「系統加密編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章」,然後選擇「內容」。
    3. 在「本機安全性設定」索引標籤上選擇「已啟用」選項,然後按一下「確定」按鈕。
  3. 啟動下列服務。這些服務必須以指定的順序啟動。
    1. mssql$HPWJA
    2. HPWJAService
    3. HPWSProAdapter
  4. 請依照下列步驟確認 HP Web Jetadmin 可與所有裝置通訊:
    1. 在「所有裝置」清單,於「狀態」欄中尋找有「裝置通訊錯誤」的任何裝置。
    2. 確認您可以使用 HP Web Jetadmin 來設定裝置。
    3. 在「所有裝置」清單中,以滑鼠右鍵按一下裝置,並選擇「重新整理選擇範圍(完整)」。請確認重新整理已完成。
    如果有「裝置通訊錯誤」狀態的裝置,或者您無法完成步驟 b 或 c,請存取裝置 EWS,然後確認下列的設定:
    • 按一下「網路」標籤,然後按一下「網路設定」連結。如果已啟用 SNMPv3,請確認驗證通訊協定是 SHA x,隱私權通訊協定是 AES。
    • 按一下「安全性」索引標籤,然後按一下「憑證管理」連結。選擇憑證,然後按一下「檢視詳細資料」按鈕。確認自我簽署憑證是使用 MD5 以外的簽章演算法。針對每個自我簽署憑證重複此步驟。

hp-feedback-input-portlet

動作
正在載入...

hp-feedback-banner-portlet

動作
正在載入...

hp-country-locator-portlet

動作
正在載入...
國家/地區: 中國香港

hp-detect-load-my-device-portlet

動作
正在載入...