Conjuntos de cifrado TLS

Un conjunto o suite de cifrado es un conjunto de algoritmos utilizados para encriptar la comunicación en red. Los componentes de Qlik NPrinting admiten una variedad de conjuntos de cifrado para permitir diferentes protocolos de seguridad.

Qlik NPrinting no establece un conjunto de cifrado seguro específico como obligatorio para garantizar la compatibilidad con diferentes sistemas operativos y plataformas.

Conjuntos de cifrado de proxy de Qlik NPrinting

El parámetro de configuración del proxy tls.ciphersuites le permite gestionar un conjunto personalizado de suites de cifrado en el proxy de Qlik NPrinting.

Los archivos de configuración del proxy son:

• %ProgramData%\NPrinting\webconsoleproxy\app.conf
• %ProgramData%\NPrinting\newsstandproxy\app.conf

Estos archivos contienen la lista de propiedades de configuración personalizables, todas comentadas por defecto. Estos archivos no cambian cuando se actualiza a nuevas versiones de Qlik NPrinting. Por lo tanto, esta propiedad de configuración no está visible de inmediato cuando se actualiza de versiones anteriores. Esto garantiza que no perderá sus parámetros.

Limitaciones

• El proxy de Qlik NPrinting admite un conjunto limitado de suites de cifrado. La lista puede cambiar después de una actualización del producto para incluir nuevos algoritmos o desaprobar otros.

• Algunos de los conjuntos de cifrado compatibles se consideran TLS 1.2 no seguros por el protocolo HTTP/2. Deben colocarse en la lista de valores personalizados después de cualquier cifra no incluida en la lista negra. De lo contrario, el proxy no se podrá iniciar y verá aparecer este error:

  El índice http2: TLSConfig.CipherSuites %index% contiene un conjunto de cifrado aprobado por HTTP/2 (%ciphername%), pero viene después de conjuntos de cifrado no aprobados. Con esta configuración, los clientes que no admiten suites de cifrado aprobadas previamente pueden recibir una no aprobada y rechazar la conexión.

• Observe que %index% y %ciphername% son variables que mostrarán:
  • %index%: el nombre del índice.
  • %ciphername%: el nombre del conjunto de cifrado que ocasionó el problema.

• Estos conjuntos de cifrado son obligatorios:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (requerido HTTP/2 RFC)

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para respaldar versiones solo de servidores ECDSA)

  Si se eliminan, el proxy no se podrá iniciar y verá el error: "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher.

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acceder a la lista de conjuntos de cifrado personalizados

Haga lo siguiente:

1. Detenga el servicio QlikNPrintingWebEngine.
2. Para personalizar la consola Qlik NPrinting web console, abra webconsoleproxy\app.conf. Para personalizar NewsStand, abra newsstandproxy\app.conf.
3. Descomente o añada tls.ciphersuites.
4. Introduzca la lista de conjuntos de cifrado separados por comas para admitir como el valor de mayor a menor preferencia.
5. Guarde el archivo.
6. Reinicie el servicio QlikNPrintingWebEngine.

Ejemplo

Configure solo los conjuntos de cifrado considerados seguros por el estándar RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Conjuntos de cifrado de Servicio de mensajes de Qlik NPrinting

Estos son los paquetes de cifrado compatibles con Servicio de mensajes de Qlik NPrinting para la comunicación de TLS entre Qlik NPrinting scheduler service y Qlik NPrinting Engine. Son compatibles con RabbitMQ y TLS 1.2.

Si desea deshabilitar las conexiones TLS con autenticación de certificado de cliente y utilizar una autenticación simple, vea: Configurar el servicio de mensajería para autenticación simple (solo en inglés).

Limitaciones

• Debido a una limitación en los certificados utilizados para conectar con Servicio de mensajes de Qlik NPrinting, solo se pueden utilizar algunos conjuntos de cifrado de TLS 1.2.

• Los conjuntos de cifrado basados en el modo Encadenamiento de bloques de cifrado (CBC), aunque sean compatibles con el producto, no se consideran seguros. Se recomienda utilizar conjuntos de cifrado que se basen en el Modo Galois/Contador (GCM), si su sistema operativo lo admite.

• Aunque es posible restringir los conjuntos de cifrado aceptados por el servicio de mensajes de Qlik NPrinting al personalizar el archivo de configuración de RabbitMQ, este método puede causar errores. En su lugar, se recomienda deshabilitar los conjuntos de cifrado no seguros enn el nivel del sistema operativo Microsoft Windows mediante IIS Crypto o un producto similar. Asegúrese de dejar habilitado al menos uno de los siguientes conjuntos de cifrado (junto con otros conjuntos de cifrado necesarios). Para más información, vea Cómo utilizar la interfaz gráfica de usuario de IIS Crypto para habilitar o deshabilitar conjuntos de cifrado en una máquina con el sistema operativo Microsoft Windows.

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Conjuntos de cifrado del servicio de licencias

El parámetro de configuración del servicio de licencias cipher-suites le permite administrar un conjunto personalizado de conjuntos de cifrado en el servicio de licencias.

Limitaciones

• El archivo de configuración del servicio de licencias se restablece cuando actualiza a una nueva versión de Qlik NPrinting. Por lo tanto, se debe volver a realizar un cambio en el parámetro cipher-suites después de una actualización.

• El servicio de licencias admite un conjunto limitado de suites de cifrado. La lista puede cambiar después de una actualización del producto para incluir nuevos algoritmos o desaprobar otros.

• Estos conjuntos de cifrado son obligatorios:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC requerido) 

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para respaldar versiones solo de servidores ECDSA)

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acceder a la lista de conjuntos de cifrado personalizados

Haga lo siguiente:

1. Detenga los servicios QlikNPrintingScheduler, QlikNPrintingWebEngine, y QlikNPrintingLicenseService.

2. Abra el archivo de configuración %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

3. Descomente o agregue el parámetro cipher-suites.

4. Introduzca la lista de conjuntos de cifrado separados por comas para admitir como el valor de mayor a menor preferencia.

5. Guarde el archivo.

6. Reinicie los servicios.

Ejemplo

Configure solo los conjuntos de cifrado considerados seguros por el estándar RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

Conjuntos de cifrado de Qlik NPrinting Server y Engine para conectarse con un servidor Qlik Sense

Estos son los paquetes de cifrado compatibles con el servicio Qlik NPrinting Server y Qlik NPrinting Engine para la comunicación TLS entre Qlik NPrinting y Qlik Sense. Al menos uno de los siguientes debe estar habilitado en todas las instancias de:

• Máquinas Qlik NPrinting Server

• Máquinas Qlik NPrinting Engine

• Máquinas Qlik Sense (incluidos todos los nodos de Sense) que se conectan con Qlik NPrinting

Tenga en cuenta que Qlik NPrinting utiliza estos conjuntos de cifrado para publicar informes en los servidores Qlik Sense. Para más información vea Distribuir informes al centro de control de Qlik Sense (solo en inglés)

Conjuntos de cifrado compatibles

TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Cómo utilizar la interfaz gráfica de usuario de IIS Crypto para habilitar o deshabilitar conjuntos de cifrado en una máquina con el sistema operativo Microsoft Windows

Haga lo siguiente:

1. Descargue IIS Crypto 3.3 o una versión más reciente desde las descargas de software de Nartac (solo en inglés).

2. Ejecútelo con privilegios de administrador y luego vaya a "Suites de cifrado" en la barra lateral de la izquierda.

3. Habilite los conjuntos de cifrado solicitados enumerados arriba para todos los componentes de Qlik NPrinting. Si no están presentes, puede agregarlos con el botón apropiado.

   Este paso solo funcionará si estos conjuntos de cifrado son compatibles con su sistema operativo.

4. Haga clic en Aplicar.
5. Reinicie el equipo.