TLS-Chiffrensammlungen

Eine Chiffrensammlung ist eine Reihe von Algorithmen, mit denen Netzwerkkommunikation verschlüsselt wird. Qlik NPrinting-Benutzer können die Liste der Chiffrensammlungen anpassen, um diejenigen zu entfernen, die von ihrem Sicherheitsprotokoll als nicht sicher betrachtet werden.

Qlik NPrinting legt keine bestimmte sichere Chiffrensammlung als obligatorisch fest, um Kompatibilität mit verschiedenen Betriebssystemen und Plattformen zu gewährleisten.

Mit dem neuen Proxy-Konfigurationsparameter tls.ciphersuites könenn Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Qlik NPrinting-Proxy verwalten.

Die Proxy-Konfigurationsdateien sind:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Diese Dateien enthalten die Liste der anpassbaren Konfigurationseigenschaften, die alle standardmäßig auskommentiert sind. Diese Dateien ändern sich nicht, wenn Sie ein Upgrade auf neuere Versionen von Qlik NPrinting durchführen. Aus diesem Grund ist diese Konfigurationseigenschaft nicht sofort sichtbar, wenn Sie ein Upgrade von älteren Versionen durchführen. Damit wird gewährleistet, dass Sie Ihre Einstellungen nicht verlieren.

Einschränkungen

Der Qlik NPrinting-Proxy unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.

Einige der unterstützten Chiffrensammlungen werden vom HTTP/2-Protokoll als unsicher für TLS 1.2 erachtet. Sie müssen in der Liste der benutzerdefinierten Werte nach allen nicht auf der Blacklist stehenden Chiffrensammlungen stehen. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites."

Bei dieser Konfiguration kann es vorkommen, dass Clients, die vorherige, genehmigte Chiffrensammlungen nicht unterstützen, eine nicht genehmigte erhalten und die Verbindung zurückweisen.

Beachten Sie, dass %index% und %ciphername% Variablen sind, die Folgendes anzeigen:

  • %index%: den Namen des Index.
  • %ciphername%: den Namen der Chiffrensammlung, die das Problem verursacht hat.

Die Chiffrensammlung TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich) oder TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern) ist obligatorisch. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

http2: TLSConfig.CipherSuites fehlt eine für HTTP/2 erforderliche AES_128_GCM_SHA256-Chiffre.

Unterstützte Chiffrensammlungen:

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-basierte Chiffrensammlungen sind standardmäßig deaktiviert
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// Standardmäßig auf der Blacklist
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie den Dienst QlikNPrintingWebEngine an.
  2. Um die Qlik NPrinting web console anzupassen, öffnen Sie webconsoleproxy\app.conf. Um den NewsStand anzupassen, öffnen Sie newsstandproxy\app.conf.
  3. Heben Sie die Auskommentierung für tls.ciphersuites auf oder fügen Sie die Zeile hinzu.
  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.
  5. Speichern Sie die Datei.
  6. Starten Sie den Dienst QlikNPrintingWebEngine neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

# benutzerdefinierte Reihe von unterstützten Chiffrensammlungen festlegen, sortiert von der am meisten bis zur am wenigsten bevorzugten
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"