Vai al contenuto principale Passa a contenuto complementare

Suite di crittografia TLS

Una suite di crittografia è un set di algoritmi utilizzato per crittografare le comunicazioni di rete. I componenti di Qlik NPrinting supportano una serie di suite di crittografia per diversi protocolli di sicurezza.

Qlik NPrinting non imposta una suite di crittografia sicura specifica come obbligatoria al fine di garantire la compatibilità con i diversi sistemi operativi e piattaforme.

Suite di crittografia proxy di Qlik NPrinting

Il parametro di configurazione proxy tls.ciphersuites consente di gestire un set personalizzato di suite di cifratura nel proxy Qlik NPrinting.

I file di configurazione del proxy sono i seguenti:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Tali file contengono l'elenco di proprietà di configurazione personalizzabili, tutte commentate per impostazione predefinita. Tali file non vengono modificati quando si esegue l'aggiornamento alle nuove versioni di Qlik NPrinting. Pertanto, tale proprietà di configurazione non risulta immediatamente visibile quando si esegue l'aggiornamento dalle versioni precedenti. In questo modo, si evita di perdere le impostazioni.

Limitazioni

  • Il proxy di Qlik NPrinting supporta un set limitato di suite di crittografia. L'elenco potrebbe essere modificato dopo un aggiornamento del prodotto affinché vengano inclusi i nuovi algoritmi o esclusi gli altri.
  • Alcune delle suite di crittografia supportate sono considerate non sicure in TLS 1.2 dal protocollo HTTP/2. Devono essere inserite nell'elenco di valori personalizzati dopo le crittografie in black list. In caso contrario, il proxy non può essere avviato, e verrà visualizzato il seguente messaggio di errore:

    "L'indice http2: TLSConfig.CipherSuites %index% contiene una suite di cifratura approvata da HTTP/2 (%ciphername%), ma arriva dopo suite di cifratura non approvate. Con questa configurazione, ai client che non supportano le precedenti suite di crittografia approvate potrebbe essere assegnata una suite non approvata e rifiutata la connessione.

  • Notare che %index% e %ciphername% sono variabili che mostreranno:
    • %index%: il nome dell'indice.
    • %ciphername%: il nome della suite di cifratura che ha causato il problema.
  • Queste suite di cifratura sono obbligatorie:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obbligatorio)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (per supportare i server solo ECDSA)

    Se vengono rimossi, il proxy non può essere avviato e viene visualizzato questo errore: "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher"

Suite di crittografia supportate

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accesso all'elenco di suite di crittografia personalizzate

Procedere come segue:

  1. Arrestare il servizio QlikNPrintingWebEngine.
  2. Per personalizzare Console web Qlik NPrinting, aprire webconsoleproxy\app.conf. Per personalizzare NewsStand, aprire newsstandproxy\app.conf.
  3. Rimuovere i commenti o aggiungere tls.ciphersuites.
  4. Immettere l'elenco separato da virgole di suite di crittografia da supportare come valore partendo da quelle prioritarie fino ad arrivare a quelle meno importanti.
  5. Salvare il file.
  6. Riavviare il servizio QlikNPrintingWebEngine.

Esempio

Impostare solo le suite di crittografia considerate sicure dallo standard RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Suite di crittografia di Servizio di messaggistica Qlik NPrinting

Di seguito sono riportate le suite di crittografia supportate da Servizio di messaggistica Qlik NPrinting per la comunicazione TLS tra Service utilità di pianificazione Qlik NPrinting e Qlik NPrinting Engine. Sono supportate da RabbitMQ e TLS 1.2.

Se si desidera disabilitare le connessioni TLS con autenticazione mediante certificato client e usare l'autenticazione semplice, vedere: Configurazione del servizio di messaggistica per l'autenticazione semplice.

Limitazioni

  • A causa di una limitazione nei certificati utilizzati per connettersi a Servizio di messaggistica Qlik NPrinting, è possibile usare solo determinate suite di crittografia TLS 1.2.

  • Le suite di crittografia basate sulla modalità Cipher Block Chaining (CBC), anche se supportate dal prodotto, non sono considerate sicure. Si consiglia di utilizzare le suite di crittografia che utilizzano la modalità Galois/Counter Mode (GCM), se supportata dal proprio sistema operativo.

  • Anche se è possibile restringere l'utilizzo delle suite di crittografia accettate dal servizio Qlik NPrinting Messaging quando si personalizza il file di configurazione RabbitMQ, questo metodo può restituire errori. Piuttosto, si consiglia di disattivare le suite di crittografia più deboli a livello del sistema operativo Microsoft Windows utilizzando IIS Crypto o un prodotto simile. Assicurarsi di lasciare abilitate almeno una delle seguenti suite di crittografia (oltre a qualsiasi altra suite di crittografia necessaria). Per ulteriori informazioni, vedere Come utilizzare la GUI di IIS Crypto per abilitare o disabilitare le suite di crittografia nel sistema operativo di un computer Microsoft Windows.

Suite di crittografia supportate


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Gestione delle licenze delle suite di cifratura dei servizi

Il parametro di configurazione del servizio di licenze cipher-suites consente di gestire un set personalizzato di suite di cifratura nel servizio di gestione licenze.

Limitazioni

  • Il file di configurazione del servizio di licenza viene ripristinato quando si passa a una nuova versione di Qlik NPrinting. Pertanto, è necessario effettuare un cambiamento al cipher-suites parametro dopo un upgrade.

  • Il servizio di gestione licenze supporta un set limitato di suite di cifratura. L'elenco potrebbe essere modificato dopo un aggiornamento del prodotto affinché vengano inclusi i nuovi algoritmi o esclusi gli altri.

  • Queste suite di cifratura sono obbligatorie:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC richiesto) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (per supportare server solo ECDSA)

Suite di crittografia supportate

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accesso all'elenco di suite di crittografia personalizzate

Procedere come segue:

  1. Arrestare i servizi QlikNPrintingSchedulerQlikNPrintingWebEngine, e QlikNPrintingLicenseService.

  2. Aprire il file di configurazione %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Rimuovere i commenti o aggiungere il parametro delle suite di cifratura.

  4. Immettere l'elenco separato da virgole di suite di crittografia da supportare come valore partendo da quelle prioritarie fino ad arrivare a quelle meno importanti.

  5. Salvare il file.

  6. Riavviare i servizi.

Esempio

Impostare solo le suite di crittografia considerate sicure dallo standard RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

 

Suite di crittografia per Qlik NPrinting Server ed Engine per connettersi a un server Qlik Sense

Di seguito sono riportate le suite di crittografia supportate dal servizio Qlik NPrinting Server e Qlik NPrinting Engine per la comunicazione TLS tra Qlik NPrinting e Qlik Sense. È necessario abilitare almeno una di queste suite su tutti i seguenti computer:

  • Computer Qlik NPrinting Server

  • Computer Qlik NPrinting Engine

  • Computer Qlik Sense (inclusi tutti i nodi Sense) che si connettono a Qlik NPrinting

Notare che Qlik NPrinting utilizza queste suite di crittografia per pubblicare i report sui server Qlik Sense. Per ulteriori informazioni, vedere Distribuzione di report all'hub Qlik Sense

Suite di crittografia supportate


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Come utilizzare la GUI di IIS Crypto per abilitare o disabilitare le suite di crittografia nel sistema operativo di un computer Microsoft Windows

Procedere come segue:

  1. Scaricare IIS Crypto 3.3 o una versione più recente dalla pagina dei download di Nartac Software.
  2. Eseguirlo con privilegi amministrativi, quindi passare a "Cipher Suites" (Suite di crittografia) nella barra laterale a sinistra.

  3. Abilitare le suite di crittografia richieste elencate per tutti i componenti Qlik NPrinting. Qualora una suite non fosse presente, è possibile aggiungerla utilizzando il pulsante dedicato.

    È possibile utilizzare questo passaggio solo per le suite di crittografia supportate dal proprio sistema operativo.

  4. Fare clic su Applica.
  5. Riavviare il computer.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!