Suites de chiffrement TLS
Une suite de chiffrement est un ensemble d'algorithmes utilisé pour chiffrer les communications réseau. Les composants de Qlik NPrinting prennent en charge plusieurs suites de chiffrement afin de permettre l'utilisation de différents protocoles de sécurité.
Qlik NPrinting ne définit pas de suite de chiffrement sécurisée obligatoire, afin de garantir la compatibilité avec différents systèmes d'exploitation et plates-formes.
Suites de chiffrement pour le proxy Qlik NPrinting
Le paramètre de configuration de proxy tls.ciphersuites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le proxy Qlik NPrinting.
Les fichiers de configuration du proxy sont les suivants :
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
Ces fichiers incluent la liste des propriétés de configuration personnalisables, toutes mises en commentaire par défaut. Ces fichiers restent inchangés lorsque vous mettez à niveau Qlik NPrinting vers de nouvelles versions. Par conséquent, cette propriété de configuration n'est pas immédiatement visible lorsque vous procédez à une mise à niveau à partir d'une ancienne version. De cette façon, vous êtes assuré de ne pas perdre vos paramètres.
Limitations
- Le proxy Qlik NPrinting prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.
-
Certaines suites de chiffrement prises en charge sont considérées non sécurisées TLS 1.2 par le protocole HTTP/2. Elles doivent être placées dans la liste des valeurs personnalisées après les éventuels chiffrements non mis en liste noire. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :
"http2: TLSConfig.CipherSuites index %index% contient une suite de chiffrement approuvée par HTTP/2 (%ciphername%), mais apparaît après des suites de chiffrement non approuvées. Dans cette configuration, les clients qui ne prennent pas en charge les suites de chiffrement approuvées précédentes peuvent obtenir une suite non approuvée et rejeter la connexion."
- Notez que les éléments %index% et %ciphername% sont des variables qui afficheront les informations suivantes :
- %index% : nom de l'index.
- %ciphername% : nom de la suite de chiffrement à l'origine du problème.
-
Ces suites de chiffrement sont obligatoires :
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs ECDSA uniquement)
S'ils sont supprimés, il est impossible de démarrer le proxy et l'erreur suivante s'affiche : "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher »
-
Suites de chiffrement prises en charge
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Accès à la liste de suites de chiffrement personnalisées
Procédez comme suit :
- Arrêtez le service QlikNPrintingWebEngine.
- Pour personnaliser Console Web Qlik NPrinting, ouvrez webconsoleproxy\app.conf. Pour personnaliser NewsStand, ouvrez newsstandproxy\app.conf.
- Décommentez ou ajoutez tls.ciphersuites.
- Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
- Enregistrez le fichier.
- Redémarrez le service QlikNPrintingWebEngine.
Exemple
Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.
# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
Suites de chiffrement Service de messagerie Qlik NPrinting
Ce sont les suites de chiffrement prises en charge par Service de messagerie Qlik NPrinting pour la communication TLS entre Service de planification Qlik NPrinting et les moteurs Qlik NPrinting Engine. Elles sont prises en charge par RabbitMQ et TLS 1.2.
Si vous souhaitez désactiver les connexions TLS avec la méthode d'authentification de certificat client et utiliser une authentification simple, voir : Configuration du service de messagerie pour une authentification simple (uniquement en anglais).
Limitations
-
En raison d'une limitation concernant les certificats utilisés pour se connecter à Service de messagerie Qlik NPrinting, seules certaines suites de chiffrement TLS 1.2 peuvent être utilisées.
-
Les suites de chiffrement basées sur le mode Cipher Block Chaining (CBC), même si elles sont prises en charge par le produit, ne sont pas considérées comme sécurisées. Il est recommandé d'utiliser des suites de chiffrement qui s'appuient sur Galois/Counter Mode (GCM), si elles sont prises en charge par votre système d'exploitation.
-
Même s'il est possible de limiter les suites de chiffrement acceptées par le service de messagerie Qlik NPrinting lors de la personnalisation du fichier de configuration RabbitMQ, cette méthode peut entraîner des erreurs. Au lieu de cela, il est recommandé de désactiver les suites de chiffrement faibles au niveau du système d'exploitation Microsoft Windows via IIS Crypto ou un produit similaire. Assurez-vous de laisser au moins une des suites de chiffrement suivantes activée (avec d'autres suites de chiffrement nécessaires). Pour plus d'informations, voir Comment utiliser IIS Crypto GUI pour activer ou désactiver des suites de chiffrement sur un poste avec un système d'exploitation Microsoft Windows.
Suites de chiffrement prises en charge
TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384
Suites de chiffrement gérées par le service de distribution de licences
Le paramètre de configuration du service de distribution de licences cipher-suites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le service de distribution de licences.
Limitations
-
Le fichier de configuration du service de distribution de licences est réinitialisé lorsque vous effectuez une mise à niveau vers une nouvelle version de Qlik NPrinting. C'est pourquoi il convient de modifier de nouveau le paramètre cipher-suites après une mise à niveau.
-
Le service de distribution de licences prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.
-
Ces suites de chiffrement sont obligatoires :
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs ECDSA uniquement)
-
Suites de chiffrement prises en charge
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Accès à la liste de suites de chiffrement personnalisées
Procédez comme suit :
-
Arrêtez les services QlikNPrintingScheduler, QlikNPrintingWebEngine et QlikNPrintingLicenseService.
-
Ouvrez le fichier de configuration %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.
-
Décommentez ou ajoutez le paramètre de suites de chiffrement.
-
Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
-
Enregistrez le fichier.
-
Redémarrez les services.
Exemple
Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.
<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />
Suites de chiffrement Qlik NPrinting Server et Engine permettant de se connecter à un serveur Qlik Sense
Il s'agit des suites de chiffrement prises en charge par les services Qlik NPrinting Server et Qlik NPrinting Engine pour la communication TLS entre Qlik NPrinting et Qlik Sense. Au moins une d'entre elles doit être activée sur l'ensemble des éléments suivants :
-
Postes Qlik NPrinting Server
-
Postes Qlik NPrinting Engine
-
Postes Qlik Sense (y compris tous les nœuds Sense) qui se connectent à Qlik NPrinting
Notez que Qlik NPrinting utilise ces suites de chiffrement pour publier des rapports sur les serveurs Qlik Sense. Pour plus d'informations, voir : Distribution des rapports vers le hub Qlik Sense (uniquement en anglais)
Suites de chiffrement prises en charge
TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384
Comment utiliser IIS Crypto GUI pour activer ou désactiver des suites de chiffrement sur un poste avec un système d'exploitation Microsoft Windows
Procédez comme suit :
- Téléchargez IIS Crypto 3.3 ou une version plus récente auprès de Téléchargements Nartac Software (uniquement en anglais).
-
Exécutez-le avec les privilèges d'administrateur, puis accédez à « Cipher Suites » (Suites de chiffrement) dans la barre latérale à gauche.
-
Activez les suites de chiffrement demandées répertoriées ci-dessus pour l'ensemble des composants Qlik NPrinting. Si elles sont absentes, vous pouvez les ajouter via le bouton appropriée.
Cette étape fonctionne uniquement si ces suites de chiffrement sont prises en charge par votre système d'exploitation.
- Cliquez sur Apply (Appliquer).
- Redémarrez l'ordinateur.