Suites de chiffrement TLS

Une suite de chiffrement est un ensemble d'algorithmes utilisé pour chiffrer les communications réseau. Les composants de Qlik NPrinting prennent en charge plusieurs suites de chiffrement afin de permettre l'utilisation de différents protocoles de sécurité.

Qlik NPrinting ne définit pas de suite de chiffrement sécurisée obligatoire, afin de garantir la compatibilité avec différents systèmes d'exploitation et plates-formes.

Suites de chiffrement pour le proxy Qlik NPrinting

Le paramètre de configuration proxy tls.ciphersuites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le proxy Qlik NPrinting.

Les fichiers de configuration du proxy sont les suivants :

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Ces fichiers incluent la liste des propriétés de configuration personnalisables, toutes mises en commentaire par défaut. Ces fichiers restent inchangés lorsque vous mettez à niveau Qlik NPrinting vers de nouvelles versions. Par conséquent, cette propriété de configuration n'est pas immédiatement visible lorsque vous procédez à une mise à niveau à partir d'une ancienne version. De cette façon, vous êtes assuré de ne pas perdre vos paramètres.

Limitations

  • Le proxy Qlik NPrinting prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.
  • Certaines suites de chiffrement prises en charge sont considérées non sécurisées TLS 1.2 par le protocole HTTP/2. Elles doivent être placées dans la liste des valeurs personnalisées après les éventuels chiffrements non mis en liste noire. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :

    "http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%) ». Ce message d'erreur s'affiche toutefois après les suites de chiffrement non approuvées. Dans cette configuration, les clients qui ne prennent pas en charge les suites de chiffrement approuvées précédentes peuvent obtenir une suite non approuvée et rejeter la connexion.

  • Vous noterez que les éléments %index% et %ciphername% sont des variables affichant les informations suivantes :
    • %index% : nom de l'index.
    • %ciphername% : nom de la suite de chiffrement à l'origine du problème.
  • La suite de chiffrement TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs strictement ECDSA) sont obligatoires. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :

    « http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher »

Suites de chiffrement prises en charge

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

// RC4-based cipher suites are disabled by default

TLS_RSA_WITH_RC4_128_SHA

TLS_ECDHE_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA

// black-listed by default

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accès à la liste de suites de chiffrement personnalisées

Procédez comme suit :

  1. Arrêtez le service QlikNPrintingWebEngine.
  2. Pour personnaliser Qlik NPrinting web console, ouvrez webconsoleproxy\app.conf. Pour personnaliser NewsStand, ouvrez newsstandproxy\app.conf.
  3. Supprimez les marques de commentaire ou ajoutez tls.ciphersuites.
  4. Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
  5. Enregistrez le fichier.
  6. Redémarrez le service QlikNPrintingWebEngine.

Exemple

Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.

# set a custom set of supported ciphersuites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

 

Suites de chiffrement Qlik NPrinting messaging service

Ce sont les suites de chiffrement prises en charge par Qlik NPrinting messaging service pour la communication TLS entre Qlik NPrinting scheduler service et les moteurs Qlik NPrinting Engine. Elles sont prises en charge par RabbitMQ et TLS 1.2.

Si vous souhaitez désactiver les connexions TLS avec la méthode d'authentification de certificat client et utiliser une authentification simple, voir : Configuration du service de messagerie pour une authentification simple.

Limitations

  • Les suites de chiffrement pour Qlik NPrinting messaging service ne peuvent pas être personnalisées.

Suites de chiffrement prises en charge

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Dépannage

Erreur Qlik NPrinting Designer « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)

La prévisualisation d'un modèle de rapport contenant une image d'une connexion Qlik Sense échoue avec l'erreur : « CEF rendering request failed, error: One or more errors occurred. » (Échec de la demande de rendu CEF, erreur : une ou plusieurs erreurs se sont produites)

Possible cause  

Qlik NPrinting Server a restreint les ensembles de certificats et de suites de chiffrement, ce qui crée des problèmes de rendu.

Proposed action  

Vous devez activer certaines suites de chiffrement :

Procédez comme suit :

  1. Téléchargez IIS Crypto 2.0.
  2. Exécutez-le avec les privilèges d'administrateur, puis accédez à l'onglet « Cipher Suites » (Suites de chiffrement) situé à gauche.

    1. Les suites de chiffrement suivantes doivent être activées. Si vous ne les voyez pas dans la liste, cliquez sur le bouton d'ajout situé à droite, puis saisissez-les.
        1. Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Engine ou Qlik NPrinting Server est installé :
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
        2. Vous devez activer au moins l'une des suites suivantes sur l'ordinateur où Qlik NPrinting Server est installé :
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  3. Cliquez sur OK, puis sur Appliquer.
  4. Redémarrez l'ordinateur.