Suites de chiffrement TLS
Une suite de chiffrement est un ensemble d'algorithmes utilisé pour chiffrer les communications réseau. Les composants de Qlik NPrinting prennent en charge plusieurs suites de chiffrement afin de permettre l'utilisation de différents protocoles de sécurité.
Qlik NPrinting ne définit pas de suite de chiffrement sécurisée obligatoire, afin de garantir la compatibilité avec différents systèmes d'exploitation et plates-formes.
Suites de chiffrement pour le proxy Qlik NPrinting
Le paramètre de configuration proxy tls.ciphersuites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le proxy Qlik NPrinting.
Les fichiers de configuration du proxy sont les suivants :
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
Ces fichiers incluent la liste des propriétés de configuration personnalisables, toutes mises en commentaire par défaut. Ces fichiers restent inchangés lorsque vous mettez à niveau Qlik NPrinting vers de nouvelles versions. Par conséquent, cette propriété de configuration n'est pas immédiatement visible lorsque vous procédez à une mise à niveau à partir d'une ancienne version. De cette façon, vous êtes assuré de ne pas perdre vos paramètres.
Limitations
- Le proxy Qlik NPrinting prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.
-
Certaines suites de chiffrement prises en charge sont considérées non sécurisées TLS 1.2 par le protocole HTTP/2. Elles doivent être placées dans la liste des valeurs personnalisées après les éventuels chiffrements non mis en liste noire. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :
"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%) ». Ce message d'erreur s'affiche toutefois après les suites de chiffrement non approuvées. Dans cette configuration, les clients qui ne prennent pas en charge les suites de chiffrement approuvées précédentes peuvent obtenir une suite non approuvée et rejeter la connexion.
- Vous noterez que les éléments %index% et %ciphername% sont des variables affichant les informations suivantes :
- %index% : nom de l'index.
- %ciphername% : nom de la suite de chiffrement à l'origine du problème.
-
La suite de chiffrement TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs strictement ECDSA) sont obligatoires. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :
"http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher »
Suites de chiffrement prises en charge
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Accès à la liste de suites de chiffrement personnalisées
Procédez comme suit :
- Arrêtez le service QlikNPrintingWebEngine.
- Pour personnaliser Console Web Qlik NPrinting, ouvrez webconsoleproxy\app.conf. Pour personnaliser NewsStand, ouvrez newsstandproxy\app.conf.
- Supprimez les marques de commentaire ou ajoutez tls.ciphersuites.
- Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
- Enregistrez le fichier.
- Redémarrez le service QlikNPrintingWebEngine.
Exemple
Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.
Suites de chiffrement Service de messagerie Qlik NPrinting
Ce sont les suites de chiffrement prises en charge par Service de messagerie Qlik NPrinting pour la communication TLS entre Service de planificateur Qlik NPrinting et les moteurs Qlik NPrinting Engine. Elles sont prises en charge par RabbitMQ et TLS 1.2.
Si vous souhaitez désactiver les connexions TLS avec la méthode d'authentification de certificat client et utiliser une authentification simple, voir : Configuration du service de messagerie pour une authentification simple.
Limitations
- Les suites de chiffrement pour Service de messagerie Qlik NPrinting ne peuvent pas être personnalisées.
Suites de chiffrement prises en charge
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Dépannage
Erreur Qlik NPrinting Designer « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)
La prévisualisation d'un modèle de rapport contenant une image d'une connexion Qlik Sense échoue avec l'erreur : « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)
Qlik NPrinting Server a restreint les ensembles de certificats et de suites de chiffrement, ce qui crée des problèmes de rendu.
Vous devez activer certaines suites de chiffrement :
Procédez comme suit :
- Téléchargez IIS Crypto 2.0.
-
Exécutez-le avec les privilèges d'administrateur, puis accédez à l'onglet « Cipher Suites » (Suites de chiffrement) situé à gauche.
- Les suites de chiffrement suivantes doivent être activées. Si vous ne les voyez pas dans la liste, cliquez sur le bouton d'ajout situé à droite, puis saisissez-les.
- Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Engine ou Qlik NPrinting Server est installé :
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Server est installé :
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- Cliquez sur OK, puis sur Appliquer.
- Redémarrez l'ordinateur.