Vai al contenuto principale

Suite di crittografia TLS

Una suite di crittografia è un set di algoritmi utilizzato per crittografare le comunicazioni di rete. I componenti di Qlik NPrinting supportano una serie di suite di crittografia per diversi protocolli di sicurezza.

Qlik NPrinting non imposta una suite di crittografia sicura specifica come obbligatoria al fine di garantire la compatibilità con i diversi sistemi operativi e piattaforme.

Suite di crittografia proxy di Qlik NPrinting

Il parametro di configurazione proxy tls.ciphersuites consente di gestire un set personalizzato di suite di cifratura nel proxy Qlik NPrinting.

I file di configurazione del proxy sono i seguenti:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Tali file contengono l'elenco di proprietà di configurazione personalizzabili, tutte commentate per impostazione predefinita. Tali file non vengono modificati quando si esegue l'aggiornamento alle nuove versioni di Qlik NPrinting. Pertanto, tale proprietà di configurazione non risulta immediatamente visibile quando si esegue l'aggiornamento dalle versioni precedenti. In questo modo, si evita di perdere le impostazioni.

Limitazioni

  • Il proxy di Qlik NPrinting supporta un set limitato di suite di crittografia. L'elenco potrebbe essere modificato dopo un aggiornamento del prodotto affinché vengano inclusi i nuovi algoritmi o esclusi gli altri.
  • Alcune delle suite di crittografia supportate sono considerate non sicure in TLS 1.2 dal protocollo HTTP/2. Devono essere inserite nell'elenco di valori personalizzati dopo le crittografie in black list. In caso contrario, il proxy non può essere avviato, e verrà visualizzato il seguente messaggio di errore:

    "L'indice http2: TLSConfig.CipherSuites %index% contiene una suite di cifratura approvata da HTTP/2 (%ciphername%), ma arriva dopo suite di cifratura non approvate. Con questa configurazione, ai client che non supportano le precedenti suite di crittografia approvate potrebbe essere assegnata una suite non approvata e rifiutata la connessione.

  • Notare che %index% e %ciphername% sono variabili che mostreranno:
    • %index%: il nome dell'indice.
    • %ciphername%: il nome della suite di cifratura che ha causato il problema.
  • Queste suite di cifratura sono obbligatorie:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obbligatorio)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (per supportare i server solo ECDSA)

    Se vengono rimossi, il proxy non può essere avviato e viene visualizzato questo errore: "http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher"

Suite di crittografia supportate

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accesso all'elenco di suite di crittografia personalizzate

Procedere come segue:

  1. Arrestare il servizio QlikNPrintingWebEngine.
  2. Per personalizzare Console web Qlik NPrinting, aprire webconsoleproxy\app.conf. Per personalizzare NewsStand, aprire newsstandproxy\app.conf.
  3. Rimuovere i commenti o aggiungere tls.ciphersuites.
  4. Immettere l'elenco separato da virgole di suite di crittografia da supportare come valore partendo da quelle prioritarie fino ad arrivare a quelle meno importanti.
  5. Salvare il file.
  6. Riavviare il servizio QlikNPrintingWebEngine.

Esempio

Impostare solo le suite di crittografia considerate sicure dallo standard RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Suite di crittografia di Servizio di messaggistica Qlik NPrinting

Di seguito sono riportate le suite di crittografia supportate da Servizio di messaggistica Qlik NPrinting per la comunicazione TLS tra Service utilità di pianificazione Qlik NPrinting e Qlik NPrinting Engine. Sono supportate da RabbitMQ e TLS 1.2.

Se si desidera disabilitare le connessioni TLS con autenticazione mediante certificato client e usare l'autenticazione semplice, vedere: Configurazione del servizio di messaggistica per l'autenticazione semplice.

Limitazioni

  • Le suite di crittografia per Servizio di messaggistica Qlik NPrinting non possono essere personalizzate.

Suite di crittografia supportate

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Gestione delle licenze delle suite di cifratura dei servizi

Il parametro di configurazione del servizio di licenze cipher-suites consente di gestire un set personalizzato di suite di cifratura nel servizio di gestione licenze.

Limitazioni

  • Il file di configurazione del servizio di licenza viene ripristinato quando si passa a una nuova versione di Qlik NPrinting. Pertanto, è necessario effettuare un cambiamento al cipher-suites parametro dopo un upgrade.

  • Il servizio di gestione licenze supporta un set limitato di suite di cifratura. L'elenco potrebbe essere modificato dopo un aggiornamento del prodotto affinché vengano inclusi i nuovi algoritmi o esclusi gli altri.

  • Queste suite di cifratura sono obbligatorie:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC richiesto) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (per supportare server solo ECDSA)

Suite di crittografia supportate

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accesso all'elenco di suite di crittografia personalizzate

Procedere come segue:

  1. Arrestare i servizi QlikNPrintingSchedulerQlikNPrintingWebEngine, e QlikNPrintingLicenseService.

  2. Aprire il file di configurazione %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Rimuovere i commenti o aggiungere il parametro delle suite di cifratura.

  4. Immettere l'elenco separato da virgole di suite di crittografia da supportare come valore partendo da quelle prioritarie fino ad arrivare a quelle meno importanti.

  5. Salvare il file.

  6. Riavviare i servizi.

Esempio

Impostare solo le suite di crittografia considerate sicure dallo standard RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

Risoluzione dei problemi

Errore di Qlik NPrinting Designer "CEF rendering request failed, error: One or more errors occurred." (Esito negativo della richiesta di rendering CEF. Errore: si sono verificati uno o più errori).

Un modello di report contenente un'immagine da una connessione Qlik Sense non genera l'anteprima e restituisce l'errore: "CEF rendering request failed, error: One or more errors occurred." (Esito negativo della richiesta di rendering CEF. Errore: si sono verificati uno o più errori).

Possibile causa  

Qlik NPrinting Server ha limitato i set di certificati e suite di crittografia, con conseguenti problemi di rendering.

Azione proposta  

È necessario abilitare alcune suite di crittografia:

Procedere come segue:

  1. Scaricare IIS Crypto 2.0.
  2. Eseguirlo con privilegi amministrativi, quindi passare alla scheda "Cipher Suites" (Suite di crittografia) a sinistra.

  3. È necessario abilitare le suite di crittografia seguenti. Se non sono visibili nell'elenco, fare clic sul pulsante Add (Aggiungi) a destra, quindi digitarle.
    1. È necessario abilitare almeno una delle suite seguenti nel computer in cui sono installati Qlik NPrinting Engine o Qlik NPrinting Server:
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_GCM_SHA256
      • TLS_RSA_WITH_AES_256_GCM_SHA384
    2. È necessario abilitare almeno una delle suite seguenti nel computer in cui è installato Qlik NPrinting Server:
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  4. Fare clic su OK, quindi su Apply (Applica).
  5. Riavviare il computer.