Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

TLS-Chiffrensammlungen

Eine Chiffrensammlung ist eine Reihe von Algorithmen, mit denen Netzwerkkommunikation verschlüsselt wird. Qlik NPrinting-Komponenten unterstützen verschiedene Chiffrensammlungen, um unterschiedliche Sicherheitsprotokolle zu unterstützen.

Qlik NPrinting legt keine bestimmte sichere Chiffrensammlung als obligatorisch fest, um Kompatibilität mit verschiedenen Betriebssystemen und Plattformen zu gewährleisten.

Qlik NPrinting-Proxy-Chiffrensammlungen

Mit dem Proxy-Konfigurationsparameter tls.ciphersuites können Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Qlik NPrinting-Proxy verwalten.

Die Proxy-Konfigurationsdateien sind:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Diese Dateien enthalten die Liste der anpassbaren Konfigurationseigenschaften, die alle standardmäßig auskommentiert sind. Diese Dateien ändern sich nicht, wenn Sie ein Upgrade auf neuere Versionen von Qlik NPrinting durchführen. Aus diesem Grund ist diese Konfigurationseigenschaft nicht sofort sichtbar, wenn Sie ein Upgrade von älteren Versionen durchführen. Damit wird gewährleistet, dass Sie Ihre Einstellungen nicht verlieren.

Einschränkungen

  • Der Qlik NPrinting-Proxy unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.
  • Einige der unterstützten Chiffrensammlungen werden vom HTTP/2-Protokoll als unsicher für TLS 1.2 erachtet. Sie müssen in der Liste der benutzerdefinierten Werte nach allen nicht auf der Blacklist stehenden Chiffrensammlungen stehen. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

    http2: TLSConfig.CipherSuites Index %index% enthält eine von HTTP/2 genehmigte Chiffrensammlung (%ciphername%), folgt aber auf nicht genehmigte Chiffrensammlungen. Bei dieser Konfiguration kann es vorkommen, dass Clients, die vorherige, genehmigte Chiffrensammlungen nicht unterstützen, eine nicht genehmigte erhalten und die Verbindung zurückweisen.

  • Beachten Sie, dass %index% und %ciphername% Variablen sind, die Folgendes anzeigen:
    • %index%: den Namen des Index.
    • %ciphername%: den Namen der Chiffrensammlung, die das Problem verursacht hat.
  • Diese Chiffrensammlungen sind obligatorisch:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern)

    Wenn sie entfernt werden, kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung: "http2: TLSConfig.CipherSuites fehlt eine für HTTP/2 erforderliche AES_128_GCM_SHA256-Chiffre."

Unterstützte Chiffrensammlungen

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie den Dienst QlikNPrintingWebEngine an.
  2. Um die Qlik NPrinting Web Console anzupassen, öffnen Sie webconsoleproxy\app.conf. Um den NewsStand anzupassen, öffnen Sie newsstandproxy\app.conf.
  3. Kommentieren Sie dies aus oder fügen Sie tls.ciphersuites hinzu.
  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.
  5. Speichern Sie die Datei.
  6. Starten Sie den Dienst QlikNPrintingWebEngine neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Qlik NPrinting Messaging-Dienst-Chiffrensammlungen

Diese Chiffrensammlungen werden von Qlik NPrinting Messaging-Dienst für die TLS-Kommunikation zwischen Qlik NPrinting Scheduler Service und Qlik NPrinting Engines unterstützt. Sie werden von RabbitMQ und TLS 1.2 unterstützt.

Wenn Sie TLS-Verbindungen mit Client-Zertifikatauthentifizierung deaktivieren und stattdessen einfache Authentifizierung verwenden möchten, finden Sie weitere Informationen unter: Konfigurieren des Nachrichtendienstes für einfache Authentifizierung (nur auf Englisch).

Einschränkungen

  • Aufgrund einer Einschränkung der Zertifikate, die für die Verbindung mit Qlik NPrinting Messaging-Dienst verwendet werden, können nur bestimmte TLS 1.2-Chiffrensammlungen verwendet werden.

  • Chiffrensammlungen, die auf dem CBC-Modus (Cipher Block Chaining) basieren, werden nicht als sicher betrachtet, auch wenn sie vom Produkt unterstützt werden. Es wird empfohlen, Chiffrensammlungen zu verwenden, die auf dem GMC-Modus (Galois/Counter Mode) basieren, wenn dies von Ihrem Betriebssystem unterstützt wird.

  • Es ist zwar möglich, beim Anpassen der RabbitMQ-Konfigurationsdatei die Chiffrensammlungen einzuschränken, die vom Qlik NPrinting Messaging-Dienst akzeptiert werden, diese Methode kann aber Fehler verursachen. Stattdessen wird empfohlen, schwache Chiffrensammlungen auf Ebene des Microsoft Windows-Betriebssystems zu deaktivieren und IIS Crypto oder ein ähnliches Produkt zu verwenden. Vergewissern Sie sich, dass mindestens eine der folgenden Chiffrensammlungen aktiviert ist (neben anderen benötigten Chiffrensammlungen). Weitere Informationen finden Sie unter Verwenden der IIS Crypto GUI zum Aktivieren oder Deaktivieren von Chiffrensammlungen auf einem Computer mit Microsoft Windows-Betriebssystem.

Unterstützte Chiffrensammlungen


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Lizenzierungsdienst-Chiffrensammlungen

Mit dem Lizenzserver-Konfigurationsparameter cipher-suites können Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Lizenzierungsdienst verwalten.

Einschränkungen

  • Die Lizenzierungsdienst-Konfigurationsdatei wird zurückgesetzt, wenn Sie ein Upgrade auf eine neue Version von Qlik NPrinting durchführen. Daher muss eine Änderung am cipher-suites-Parameter nach dem Upgrade erneut vorgenommen werden.

  • Der Lizenzierungsdienst unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.

  • Diese Chiffrensammlungen sind obligatorisch:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern)

Unterstützte Chiffrensammlungen

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie die Dienste QlikNPrintingScheduler, QlikNPrintingWebEngine und QlikNPrintingLicenseService an.

  2. Öffnen Sie die Konfigurationsdatei %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Kommentieren Sie den cipher-suites-Parameter aus oder fügen Sie ihn hinzu.

  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.

  5. Speichern Sie die Datei.

  6. Starten Sie die Dienste neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

 

Qlik NPrinting Server und Engine-Chiffrensammlungen für die Verbindung mit einem Qlik Sense Server

Diese Chiffrensammlungen werden von Qlik NPrinting Server und Qlik NPrinting Engine für die TLS-Kommunikation zwischen Qlik NPrinting und Qlik Sense unterstützt. Mindestens eine von ihnen muss auf allen der folgenden Computer aktiviert sein:

  • Qlik NPrinting Server Computer

  • Qlik NPrinting Engine Computer

  • Qlik Sense Computer (einschließlich aller Sense Knoten), die eine Verbindung mit Qlik NPrinting herstellen

Bitte beachten Sie, dass Qlik NPrinting diese Chiffrensammlungen für die Veröffentlichung von Berichten auf Qlik Sense Servern verwendet. Weitere Informationen finden Sie unter Verteilen von Berichten an den Qlik Sense-Hub (nur auf Englisch)

Unterstützte Chiffrensammlungen


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Verwenden der IIS Crypto GUI zum Aktivieren oder Deaktivieren von Chiffrensammlungen auf einem Computer mit Microsoft Windows-Betriebssystem

Gehen Sie folgendermaßen vor:

  1. Laden Sie IIS Crypto 3.3 oder eine höhere Version von Nartac Software Downloads (nur auf Englisch) herunter.
  2. Führen Sie die Datei mit Administratorberechtigungen aus und gehen Sie dann zu „Chiffrensammlungen“ auf der linken Seitenleiste.

  3. Aktivieren Sie die oben aufgeführten erforderlichen Chiffrensammlungen für alle Qlik NPrinting Komponenten. Falls nicht vorhanden, können Sie sie durch Klicken auf die entsprechende Schaltfläche hinzufügen.

    Dieser Schritt funktioniert nur, wenn diese Chiffrensammlungen von Ihrem Betriebssystem unterstützt werden.

  4. Klicken Sie auf Übernehmen.
  5. Starten Sie den Computer neu.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!