TLS-Chiffrensammlungen

Eine Chiffrensammlung ist eine Reihe von Algorithmen, mit denen Netzwerkkommunikation verschlüsselt wird. Qlik NPrinting-Komponenten unterstützen verschiedene Chiffrensammlungen, um unterschiedliche Sicherheitsprotokolle zu unterstützen.

Qlik NPrinting legt keine bestimmte sichere Chiffrensammlung als obligatorisch fest, um Kompatibilität mit verschiedenen Betriebssystemen und Plattformen zu gewährleisten.

Qlik NPrinting-Proxy-Chiffrensammlungen

Mit dem Proxy-Konfigurationsparameter tls.ciphersuites können Sie eine benutzerdefinierte Gruppe von Chiffrensammlungen im Qlik NPrinting-Proxy verwalten.

Die Proxy-Konfigurationsdateien sind:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Diese Dateien enthalten die Liste der anpassbaren Konfigurationseigenschaften, die alle standardmäßig auskommentiert sind. Diese Dateien ändern sich nicht, wenn Sie ein Upgrade auf neuere Versionen von Qlik NPrinting durchführen. Aus diesem Grund ist diese Konfigurationseigenschaft nicht sofort sichtbar, wenn Sie ein Upgrade von älteren Versionen durchführen. Damit wird gewährleistet, dass Sie Ihre Einstellungen nicht verlieren.

Einschränkungen

  • Der Qlik NPrinting-Proxy unterstützt eine begrenzte Anzahl Chiffrensammlungen. Die Liste kann sich nach einem Produkt-Upgrade ändern, wenn neue Algorithmen hinzugefügt und andere verworfen werden.
  • Einige der unterstützten Chiffrensammlungen werden vom HTTP/2-Protokoll als unsicher für TLS 1.2 erachtet. Sie müssen in der Liste der benutzerdefinierten Werte nach allen nicht auf der Blacklist stehenden Chiffrensammlungen stehen. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

    "http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites." Bei dieser Konfiguration kann es vorkommen, dass Clients, die vorherige, genehmigte Chiffrensammlungen nicht unterstützen, eine nicht genehmigte erhalten und die Verbindung zurückweisen.

  • Beachten Sie, dass %index% und %ciphername% Variablen sind, die Folgendes anzeigen:
    • %index%: den Namen des Index.
    • %ciphername%: den Namen der Chiffrensammlung, die das Problem verursacht hat.
  • Die Chiffrensammlung TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC erforderlich) oder TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (zur Unterstützung von Nur-ECDSA-Servern) ist obligatorisch. Andernfalls kann der Proxy nicht gestartet werden, und Sie sehen folgende Fehlermeldung:

    "http2: TLSConfig.CipherSuites fehlt eine für HTTP/2 erforderliche AES_128_GCM_SHA256-Chiffre."

Unterstützte Chiffrensammlungen

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

// RC4-basierte Chiffrensammlungen sind standardmäßig deaktiviert

TLS_RSA_WITH_RC4_128_SHA

TLS_ECDHE_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA

// Standardmäßig auf der Blacklist

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Zugriff auf die Liste der benutzerdefinierten Chiffrensammlungen

Gehen Sie folgendermaßen vor:

  1. Halten Sie den Dienst QlikNPrintingWebEngine an.
  2. Um die Qlik NPrinting web console anzupassen, öffnen Sie webconsoleproxy\app.conf. Um den NewsStand anzupassen, öffnen Sie newsstandproxy\app.conf.
  3. Heben Sie die Auskommentierung für tls.ciphersuites auf oder fügen Sie die Zeile hinzu.
  4. Geben Sie die kommagetrennte Liste der zu unterstützenden Chiffrensammlungen ein, sortiert von der am meisten bis zur am wenigsten bevorzugten Option.
  5. Speichern Sie die Datei.
  6. Starten Sie den Dienst QlikNPrintingWebEngine neu.

Beispiel

Legen Sie nur die Chiffrensammlungen fest, die vom Standard RFC 7540 als sicher erachtet werden.

# benutzerdefinierte Reihe von unterstützten Chiffrensammlungen festlegen, sortiert von der am meisten bis zur am wenigsten bevorzugten
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

 

Qlik NPrinting messaging service-Chiffrensammlungen

Diese Chiffrensammlungen werden von Qlik NPrinting messaging service für die TLS-Kommunikation zwischen Qlik NPrinting scheduler service und Qlik NPrinting Engines unterstützt. Sie werden von RabbitMQ und TLS 1.2 unterstützt.

Wenn Sie TLS-Verbindungen mit Client-Zertifikatauthentifizierung deaktivieren und stattdessen einfache Authentifizierung verwenden möchten, finden Sie weitere Informationen unter: Konfigurieren des Nachrichtendienstes für einfache Authentifizierung.

Einschränkungen

  • Chiffrensammlungen für Qlik NPrinting messaging service können nicht angepasst werden.

Unterstützte Chiffrensammlungen

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Fehlerbehebung

Qlik NPrinting Designer-Fehler: "CEF rendering request failed, error: One or more errors occurred."

Für eine Berichtsvorlage, die ein Bild aus einer Qlik Sense-Verbindung enthält, schlägt die Vorschau mit folgendem Fehler fehl: "CEF rendering request failed, error: One or more errors occurred."

Possible cause  

Der Qlik NPrinting Server hat die Sätze der Zertifikate und Chiffrensammlungen eingeschränkt, was zu Renderfehlern führen kann.

Proposed action  

Sie müssen bestimmte Chiffrensammlungen aktivieren:

Gehen Sie folgendermaßen vor:

  1. Laden Sie IIS Crypto 2.0 herunter.
  2. Führen Sie die Datei mit Administratorberechtigungen aus und gehen Sie dann zur Registerkarte „Chiffrensammlungen“ auf der linken Seite.

    1. Die folgenden Chiffrensammlungen müssen aktiviert sein. Wenn Sie sie in der Liste nicht finden, klicken Sie auf die Hinzufügen-Schaltfläche rechts und geben Sie sie ein.
        1. Sie müssen mindestens eine der folgenden Sammlungen auf dem Computer aktivieren, auf dem die Qlik NPrinting Engine oder der Qlik NPrinting Server installiert sind:
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
        2. Sie müssen mindestens eine der folgenden Sammlungen auf dem Computer aktivieren, auf dem der Qlik NPrinting Server installiert ist:
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  3. Klicken Sie auf OK und dann auf Übernehmen.
  4. Starten Sie den Computer neu.