本文にスキップ

通信の暗号化:TLS(SSL)

プリンターがサーバーとして動作する通信(HTTP/IPPなど)のセキュリティを高めたい場合に設定します。暗号化通信では、証明書と鍵のペアを使用します。

サーバー認証の例:

サーバー(プリンター)— クライアント(パソコン)間の通信は、以下のように行われます。

  1. 【クライアント】暗号化通信の接続要求をする

  2. 【サーバー】サーバー証明書と公開鍵のペアを送付する

  3. 【クライアント】共通鍵を生成する

  4. 【クライアント】受け取った公開鍵を使って共通鍵を暗号化しサーバー(プリンター)へ送付する

  5. 【サーバー】受け取った共通鍵を秘密鍵で復号する

  6. 【クライアント/サーバー】一致した共通鍵を使って送受信するデータ経路を暗号化/復号して暗号化通信を成立させる

キヤノン製プリンターでは、プリンターがTLS(SSL)サーバーとして動作するリモートUI通信およびIPP通信において、TLS暗号化通信を行うためにプリンター内の鍵と証明書(サーバー証明書)を使用します。サーバー証明書はプリンター内のデフォルト証明書の他、ユーザーがリモートUIを利用して生成した証明書および外部で作成した証明書が使用できます。

TLS(SSL)通信用の電子証明書の登録パターンは以下のようになります。いずれかの登録パターンを選んでください。

(A)デフォルトの鍵と証明書を使用する場合:

プリンター内にあらかじめ用意されたデフォルトの鍵と証明書を使用できます。この場合、リモートUIを使用して鍵と証明書を登録する必要はありません。

(B)鍵と証明書を生成する場合:

共通名や有効期間などに自分で設定した情報を入れた証明書を使いたい場合、リモートUIを利用して新たに鍵と証明書を生成できます。

  • リモートUIの場合

    セキュリティ]→[TLSサーバー設定]→[鍵と証明書の生成]→[自己署名証明書の生成

  1. 必要事項を設定する

    • 鍵のアルゴリズム:[ECDSA]、[RSA]から選択可能です。ECDSA]を選択した場合は、鍵の種類として[secp256r1]、[secp384r1]、[secp521r1]の選択が可能です。

    • 署名アルゴリズム:[SHA256]、[SHA384]、[SHA512]のいずれかを選びます。

    • 公開鍵ビット長:[2048bit]を選びます。

    • 有効期限:

      有効期間の開始]には、サーバー証明書を作成する日を入力します。

      有効期間の終了]には、サーバー証明書の使用を終了する日を入力します。

    • 共通名:英数字を入力します。

  2. 次へ]を選ぶ

    ]、[都道府県]、[市区町村]、[組織]、[組織単位]は任意入力です

  3. 生成]を選ぶ

    サーバー証明書の生成が開始されます。

  4. LANの再起動]を選ぶ

プリンターで生成したルート証明書で署名したサーバー証明書を作成します。

ただし、ウェブブラウザーの種類やバージョンによっては、安全な通信ができないことをお知らせする警告が表示される場合があります。

(C)鍵と証明書を登録する(外部で作成した証明書を使う)場合:

鍵と証明書やCA証明書を発行機関から入手して使用できます。入手した鍵と証明書ファイルはリモートUIを使ってアップロードします。

  • リモートUIの場合

    セキュリティ]→[TLSサーバー設定]→[鍵と証明書のアップロード

  1. ファイル形式を選ぶ

    PKCS#12(*.pfx/*.p12)]または[DER(*.der, *.cerなど)]を選びます

  2. ファイルを選び、パスワードを入力する

  3. アップロード]ボタンを選ぶ

  4. 管理者パスワードの入力を求められた場合は管理者パスワードを入力する

  5. LANの再起動]ボタンを選ぶ

(D)証明書署名要求(CSR)を生成する場合:

プリンターで生成した証明書は認証局に署名されていないため、接続機器によっては通信エラーとなってしまうことがあります。

認証局署名付き証明書を入手するには、証明書署名要求(CSR:Certificate Signing Request)ファイルを認証局に送付して証明書を発行してもらう必要があります。

CSRは、管理者モードのリモートUIを使って生成します。証明書が発行されたら、リモートUIから証明書をアップロードしてください。

  • リモートUIの場合

    セキュリティ]→[TLSサーバー設定]→[鍵と証明書の生成]→[CSR(証明書署名要求)の生成

すでに生成されたCSRがあります。生成の操作を行うと既存のCSRは削除されます。生成しますか?」が表示された場合、[はい]を選ぶ

  1. 必要事項を設定する

    • 署名アルゴリズム]:[SHA256]、[SHA384]、[SHA512]のいずれかを選びます。

    • 公開鍵ビット長]:[2048bit]を選びます。

    • 共通名

  2. 次へ]を選ぶ

    ]、[都道府県]、[市区町村]、[組織]、[組織単位]は任意入力です

  3. 生成]を選ぶ

  4. ダウンロード]を選ぶ

    保存先を指定して保存します

保存したCSRファイルは認証局に送付し、認証局署名付き証明書(CA証明書)の発行を受けます。CA証明書は(C)の手順に従って、アップロードします。

重要

  • 生成したサーバー証明書のリセットは、リモートUIで行ってください。

    リモートUIの場合

    セキュリティ]→[TLSサーバー設定]→[鍵と証明書の削除]→[OK]→[LANの再起動

参考

  • LANを再起動した後にリモートUIに接続できない場合は、ウェブブラウザーでページを再読み込みしてください。

  • 必要に応じて、暗号化通信に使用するTLSのバージョン範囲を設定してください。この設定は、プリンターがTLSサーバーとして動作する場合に適用されます。

    リモートUIの場合

    セキュリティー]→[TLSサーバー設定]→[TLSの詳細設定]→[上位]または[下位]→バージョンを選択

暗号化通信で利用できる鍵と証明書の仕様