Saltar al contenido principal Saltar al contenido complementario

Conjuntos de cifrado TLS

Un conjunto o suite de cifrado es un conjunto de algoritmos utilizados para encriptar la comunicación en red. Los componentes de Qlik NPrinting admiten una variedad de conjuntos de cifrado para permitir diferentes protocolos de seguridad.

Qlik NPrinting no establece un conjunto de cifrado seguro específico como obligatorio para garantizar la compatibilidad con diferentes sistemas operativos y plataformas.

Conjuntos de cifrado de proxy de Qlik NPrinting

El parámetro de configuración del proxy tls.ciphersuites le permite gestionar un conjunto personalizado de suites de cifrado en el proxy de Qlik NPrinting.

Los archivos de configuración del proxy son:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Estos archivos contienen la lista de propiedades de configuración personalizables, todas comentadas por defecto. Estos archivos no cambian cuando se actualiza a nuevas versiones de Qlik NPrinting. Por lo tanto, esta propiedad de configuración no está visible de inmediato cuando se actualiza de versiones anteriores. Esto garantiza que no perderá sus parámetros.

Limitaciones

  • El proxy de Qlik NPrinting admite un conjunto limitado de suites de cifrado. La lista puede cambiar después de una actualización del producto para incluir nuevos algoritmos o desaprobar otros.
  • Algunos de los conjuntos de cifrado compatibles se consideran TLS 1.2 no seguros por el protocolo HTTP/2. Deben colocarse en la lista de valores personalizados después de cualquier cifra no incluida en la lista negra. De lo contrario, el proxy no se podrá iniciar y verá aparecer este error:

    El índice http2: TLSConfig.CipherSuites %index% contiene un conjunto de cifrado aprobado por HTTP/2 (%ciphername%), pero viene después de conjuntos de cifrado no aprobados. Con esta configuración, los clientes que no admiten suites de cifrado aprobadas previamente pueden recibir una no aprobada y rechazar la conexión.

  • Observe que %index% y %ciphername% son variables que mostrarán:
    • %index%: el nombre del índice.
    • %ciphername%: el nombre del conjunto de cifrado que ocasionó el problema.
  • Estos conjuntos de cifrado son obligatorios:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (requerido HTTP/2 RFC)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para respaldar versiones solo de servidores ECDSA)

    Si se eliminan, el proxy no se podrá iniciar y verá el error: "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher.

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acceder a la lista de conjuntos de cifrado personalizados

Haga lo siguiente:

  1. Detenga el servicio QlikNPrintingWebEngine.
  2. Para personalizar la consola Qlik NPrinting web console, abra webconsoleproxy\app.conf. Para personalizar NewsStand, abra newsstandproxy\app.conf.
  3. Descomente o añada tls.ciphersuites.
  4. Introduzca la lista de conjuntos de cifrado separados por comas para admitir como el valor de mayor a menor preferencia.
  5. Guarde el archivo.
  6. Reinicie el servicio QlikNPrintingWebEngine.

Ejemplo

Configure solo los conjuntos de cifrado considerados seguros por el estándar RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Conjuntos de cifrado de Servicio de mensajes de Qlik NPrinting

Estos son los paquetes de cifrado compatibles con Servicio de mensajes de Qlik NPrinting para la comunicación de TLS entre Qlik NPrinting scheduler service y Qlik NPrinting Engine. Son compatibles con RabbitMQ y TLS 1.2.

Si desea deshabilitar las conexiones TLS con autenticación de certificado de cliente y utilizar una autenticación simple, vea: Configurar el servicio de mensajería para autenticación simple (solo en inglés).

Limitaciones

  • Los conjuntos de cifrado Servicio de mensajes de Qlik NPrinting no se pueden personalizar.

Conjuntos de cifrado compatibles

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Conjuntos de cifrado del servicio de licencias

El parámetro de configuración del servicio de licencias cipher-suites le permite administrar un conjunto personalizado de conjuntos de cifrado en el servicio de licencias.

Limitaciones

  • El archivo de configuración del servicio de licencias se restablece cuando actualiza a una nueva versión de Qlik NPrinting. Por lo tanto, se debe volver a realizar un cambio en el parámetro cipher-suites después de una actualización.

  • El servicio de licencias admite un conjunto limitado de suites de cifrado. La lista puede cambiar después de una actualización del producto para incluir nuevos algoritmos o desaprobar otros.

  • Estos conjuntos de cifrado son obligatorios:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC requerido) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para respaldar versiones solo de servidores ECDSA)

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acceder a la lista de conjuntos de cifrado personalizados

Haga lo siguiente:

  1. Detenga los servicios QlikNPrintingSchedulerQlikNPrintingWebEngine, y QlikNPrintingLicenseService.

  2. Abra el archivo de configuración %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Descomente o agregue el parámetro cipher-suites.

  4. Introduzca la lista de conjuntos de cifrado separados por comas para admitir como el valor de mayor a menor preferencia.

  5. Guarde el archivo.

  6. Reinicie los servicios.

Ejemplo

Configure solo los conjuntos de cifrado considerados seguros por el estándar RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

Resolución de problemas

Error de Qlik NPrinting Designer "Falló la solicitud de reproducir CEF, error: Se han producido uno o más errores."

Una plantilla de informe que contiene una imagen de una conexión de Qlik Sense no logra obtener una vista previa con el error: "Falló la solicitud de reproducir CEF, error: Se han producido uno o más errores."

Posible causa  

El Qlik NPrinting Server ha restringido los conjuntos de certificados y conjuntos de cifrado, lo que crea problemas de reproducción.

Acción propuesta  

Debe habilitar determinadas suites de cifrado:

Haga lo siguiente:

  1. Descargue IIS Crypto 2.0 (solo en inglés).
  2. Ejecútelo con privilegios de administrador y luego vaya a la pestaña "Suites de cifrado" a la izquierda.

  3. Las siguientes suites de cifrado deben estar habilitadas. Si no puede verlas en la lista, haga clic en el botón Agregar a la derecha y escríbalas.
    1. Debe habilitar al menos uno de los siguientes en el equipo donde están instalados el motor Qlik NPrinting Engine o el servidor Qlik NPrinting Server:
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_GCM_SHA256
      • TLS_RSA_WITH_AES_256_GCM_SHA384
    2. Debe habilitar al menos uno de los siguientes en el equipo donde está instalado el Qlik NPrinting Server:
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  4. Haga clic en Aceptar y después en Aplicar.
  5. Reinicie el equipo.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.