Zu Hauptinhalt springen

TLS-Chiffrensammlungen

Eine Chiffrensammlung ist eine Reihe von Algorithmen, mit denen Netzwerkkommunikation verschlüsselt wird. Qlik NPrinting-Komponenten unterstützen verschiedene Chiffrensammlungen, um unterschiedliche Sicherheitsprotokolle zu unterstützen.

Qlik NPrinting legt keine bestimmte sichere Chiffrensammlung als obligatorisch fest, um Kompatibilität mit verschiedenen Betriebssystemen und Plattformen zu gewährleisten.

Qlik NPrinting-Proxy-Chiffrensammlungen

Mit dem Proxy-Konfigurationsparameter tls.ciphersuites können Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Qlik NPrinting-Proxy verwalten.

Die Proxy-Konfigurationsdateien sind:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Diese Dateien enthalten die Liste der anpassbaren Konfigurationseigenschaften, die alle standardmäßig auskommentiert sind. Diese Dateien ändern sich nicht, wenn Sie ein Upgrade auf neuere Versionen von Qlik NPrinting durchführen. Aus diesem Grund ist diese Konfigurationseigenschaft nicht sofort sichtbar, wenn Sie ein Upgrade von älteren Versionen durchführen. Damit wird gewährleistet, dass Sie Ihre Einstellungen nicht verlieren.

Einschränkungen

  • Der Qlik NPrinting-Proxy unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.
  • Einige der unterstützten Chiffrensammlungen werden vom HTTP/2-Protokoll als unsicher für TLS 1.2 erachtet. Sie müssen in der Liste der benutzerdefinierten Werte nach allen nicht auf der Blacklist stehenden Chiffrensammlungen stehen. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

    http2: TLSConfig.CipherSuites Index %index% enthält eine von HTTP/2 genehmigte Chiffrensammlung (%ciphername%), folgt aber auf nicht genehmigte Chiffrensammlungen. Bei dieser Konfiguration kann es vorkommen, dass Clients, die vorherige, genehmigte Chiffrensammlungen nicht unterstützen, eine nicht genehmigte erhalten und die Verbindung zurückweisen.

  • Beachten Sie, dass %index% und %ciphername% Variablen sind, die Folgendes anzeigen:
    • %index%: den Namen des Index.
    • %ciphername%: den Namen der Chiffrensammlung, die das Problem verursacht hat.
  • Diese Chiffrensammlungen sind obligatorisch:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern)

    Wenn sie entfernt werden, kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung: "http2: TLSConfig.CipherSuites fehlt eine für HTTP/2 erforderliche AES_128_GCM_SHA256-Chiffre."

Unterstützte Chiffrensammlungen

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie den Dienst QlikNPrintingWebEngine an.
  2. Um die Qlik NPrinting Web Console anzupassen, öffnen Sie webconsoleproxy\app.conf. Um den NewsStand anzupassen, öffnen Sie newsstandproxy\app.conf.
  3. Kommentieren Sie dies aus oder fügen Sie tls.ciphersuites hinzu.
  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.
  5. Speichern Sie die Datei.
  6. Starten Sie den Dienst QlikNPrintingWebEngine neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Qlik NPrinting Messaging-Dienst-Chiffrensammlungen

Diese Chiffrensammlungen werden von Qlik NPrinting Messaging-Dienst für die TLS-Kommunikation zwischen Qlik NPrinting Scheduler Service und Qlik NPrinting Engines unterstützt. Sie werden von RabbitMQ und TLS 1.2 unterstützt.

Wenn Sie TLS-Verbindungen mit Client-Zertifikatauthentifizierung deaktivieren und stattdessen einfache Authentifizierung verwenden möchten, finden Sie weitere Informationen unter: Konfigurieren des Nachrichtendienstes für einfache Authentifizierung.

Einschränkungen

  • Chiffrensammlungen für Qlik NPrinting Messaging-Dienst können nicht angepasst werden.

Unterstützte Chiffrensammlungen

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Lizenzierungsdienst-Chiffrensammlungen

Mit dem Lizenzserver-Konfigurationsparameter cipher-suites können Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Lizenzierungsdienst verwalten.

Einschränkungen

  • Die Lizenzierungsdienst-Konfigurationsdatei wird zurückgesetzt, wenn Sie ein Upgrade auf eine neue Version von Qlik NPrinting durchführen. Daher muss eine Änderung am cipher-suites-Parameter nach dem Upgrade erneut vorgenommen werden.

  • Der Lizenzierungsdienst unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.

  • Diese Chiffrensammlungen sind obligatorisch:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern)

Unterstützte Chiffrensammlungen

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie die Dienste QlikNPrintingScheduler, QlikNPrintingWebEngine und QlikNPrintingLicenseService an.

  2. Öffnen Sie die Konfigurationsdatei %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Kommentieren Sie den cipher-suites-Parameter aus oder fügen Sie ihn hinzu.

  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.

  5. Speichern Sie die Datei.

  6. Starten Sie die Dienste neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

Fehlerbehebung

Qlik NPrinting Designer-Fehler: "CEF rendering request failed, error: One or more errors occurred."

Für eine Berichtsvorlage, die ein Bild aus einer Qlik Sense-Verbindung enthält, schlägt die Vorschau mit folgendem Fehler fehl: "CEF rendering request failed, error: One or more errors occurred."

Mögliche Ursache  

Der Qlik NPrinting Server hat die Sätze der Zertifikate und Chiffrensammlungen eingeschränkt, was zu Renderfehlern führen kann.

Vorgeschlagene Aktion  

Sie müssen bestimmte Chiffrensammlungen aktivieren:

Gehen Sie folgendermaßen vor:

  1. Laden Sie IIS Crypto 2.0 herunter.
  2. Führen Sie die Datei mit Administratorberechtigungen aus und gehen Sie dann zur Registerkarte „Chiffrensammlungen“ auf der linken Seite.

  3. Die folgenden Chiffrensammlungen müssen aktiviert sein. Wenn Sie sie in der Liste nicht finden, klicken Sie auf die Hinzufügen-Schaltfläche rechts und geben Sie sie ein.
    1. Sie müssen mindestens eine der folgenden Sammlungen auf dem Computer aktivieren, auf dem die Qlik NPrinting Engine oder der Qlik NPrinting Server installiert sind:
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_GCM_SHA256
      • TLS_RSA_WITH_AES_256_GCM_SHA384
    2. Sie müssen mindestens eine der folgenden Sammlungen auf dem Computer aktivieren, auf dem der Qlik NPrinting Server installiert ist:
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  4. Klicken Sie auf OK und dann auf Übernehmen.
  5. Starten Sie den Computer neu.