Accéder au contenu principal

Suites de chiffrement TLS

Une suite de chiffrement est un ensemble d'algorithmes utilisé pour chiffrer les communications réseau. Les composants de Qlik NPrinting prennent en charge plusieurs suites de chiffrement afin de permettre l'utilisation de différents protocoles de sécurité.

Qlik NPrinting ne définit pas de suite de chiffrement sécurisée obligatoire, afin de garantir la compatibilité avec différents systèmes d'exploitation et plates-formes.

Suites de chiffrement pour le proxy Qlik NPrinting

Le paramètre de configuration de proxy tls.ciphersuites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le proxy Qlik NPrinting.

Les fichiers de configuration du proxy sont les suivants :

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Ces fichiers incluent la liste des propriétés de configuration personnalisables, toutes mises en commentaire par défaut. Ces fichiers restent inchangés lorsque vous mettez à niveau Qlik NPrinting vers de nouvelles versions. Par conséquent, cette propriété de configuration n'est pas immédiatement visible lorsque vous procédez à une mise à niveau à partir d'une ancienne version. De cette façon, vous êtes assuré de ne pas perdre vos paramètres.

Limitations

  • Le proxy Qlik NPrinting prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.
  • Certaines suites de chiffrement prises en charge sont considérées non sécurisées TLS 1.2 par le protocole HTTP/2. Elles doivent être placées dans la liste des valeurs personnalisées après les éventuels chiffrements non mis en liste noire. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :

    "http2: TLSConfig.CipherSuites index %index% contient une suite de chiffrement approuvée par HTTP/2 (%ciphername%), mais apparaît après des suites de chiffrement non approuvées. Dans cette configuration, les clients qui ne prennent pas en charge les suites de chiffrement approuvées précédentes peuvent obtenir une suite non approuvée et rejeter la connexion."

  • Notez que les éléments %index% et %ciphername% sont des variables qui afficheront les informations suivantes :
    • %index% : nom de l'index.
    • %ciphername% : nom de la suite de chiffrement à l'origine du problème.
  • Ces suites de chiffrement sont obligatoires :

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs ECDSA uniquement)

    S'ils sont supprimés, il est impossible de démarrer le proxy et l'erreur suivante s'affiche : "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher »

Suites de chiffrement prises en charge

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accès à la liste de suites de chiffrement personnalisées

Procédez comme suit :

  1. Arrêtez le service QlikNPrintingWebEngine.
  2. Pour personnaliser Console Web Qlik NPrinting, ouvrez webconsoleproxy\app.conf. Pour personnaliser NewsStand, ouvrez newsstandproxy\app.conf.
  3. Décommentez ou ajoutez tls.ciphersuites.
  4. Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
  5. Enregistrez le fichier.
  6. Redémarrez le service QlikNPrintingWebEngine.

Exemple

Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Suites de chiffrement Service de messagerie Qlik NPrinting

Ce sont les suites de chiffrement prises en charge par Service de messagerie Qlik NPrinting pour la communication TLS entre Service de planification Qlik NPrinting et les moteurs Qlik NPrinting Engine. Elles sont prises en charge par RabbitMQ et TLS 1.2.

Si vous souhaitez désactiver les connexions TLS avec la méthode d'authentification de certificat client et utiliser une authentification simple, voir : Configuration du service de messagerie pour une authentification simple.

Limitations

  • Les suites de chiffrement pour Service de messagerie Qlik NPrinting ne peuvent pas être personnalisées.

Suites de chiffrement prises en charge

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Suites de chiffrement gérées par le service de distribution de licences

Le paramètre de configuration du service de distribution de licences cipher-suites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le service de distribution de licences.

Limitations

  • Le fichier de configuration du service de distribution de licences est réinitialisé lorsque vous effectuez une mise à niveau vers une nouvelle version de Qlik NPrinting. C'est pourquoi il convient de modifier de nouveau le paramètre cipher-suites après une mise à niveau.

  • Le service de distribution de licences prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.

  • Ces suites de chiffrement sont obligatoires :

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs ECDSA uniquement)

Suites de chiffrement prises en charge

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accès à la liste de suites de chiffrement personnalisées

Procédez comme suit :

  1. Arrêtez les services QlikNPrintingSchedulerQlikNPrintingWebEngine et QlikNPrintingLicenseService.

  2. Ouvrez le fichier de configuration %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Décommentez ou ajoutez le paramètre de suites de chiffrement.

  4. Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.

  5. Enregistrez le fichier.

  6. Redémarrez les services.

Exemple

Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

Dépannage

Erreur Qlik NPrinting Designer « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)

La prévisualisation d'un modèle de rapport contenant une image d'une connexion Qlik Sense échoue avec l'erreur : « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)

 

Qlik NPrinting Server a restreint les ensembles de certificats et de suites de chiffrement, ce qui crée des problèmes de rendu.

 

Vous devez activer certaines suites de chiffrement :

Procédez comme suit :

  1. Téléchargez IIS Crypto 2.0.
  2. Exécutez-le avec les privilèges d'administrateur, puis accédez à l'onglet « Cipher Suites » (Suites de chiffrement) situé à gauche.

  3. Les suites de chiffrement suivantes doivent être activées. Si vous ne les voyez pas dans la liste, cliquez sur le bouton d'ajout situé à droite, puis saisissez-les.
    1. Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Engine ou Qlik NPrinting Server est installé :
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_GCM_SHA256
      • TLS_RSA_WITH_AES_256_GCM_SHA384
    2. Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Server est installé :
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  4. Cliquez sur OK, puis sur Appliquer.
  5. Redémarrez l'ordinateur.