TLS 暗号

暗号は、ネットワーク通信を暗号化するために使用される一連のアルゴリズムです。Qlik NPrinting ユーザーは、セキュリティー プロトコルにより保護されていないと思われるものを除去するために、暗号のリストをカスタマイズすることができます。

Qlik NPrinting では、異なるオペレーティング システムやプラットフォームとの互換性を保証するために特定のセキュアな暗号を強制的に設定することは行われていません。

新しいプロキシ構成パラメータ tls.ciphersuites を使用すると、Qlik NPrinting プロキシ内の暗号のカスタムセットを管理できます。

プロキシ構成ファイルは次の通りです。

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

これらのファイルには、カスタマイズ可能な構成プロパティのリストが含まれています。これらはすべて既定設定でコメントされています。これらのファイルは、Qlik NPrinting が新しいバージョンにアップグレードされても変更されません。したがってこの構成プロパティは、古いバージョンからアップグレードするとすぐには表示されません。そのため、設定が失われることはありません。

制限

Qlik NPrinting プロキシは限られた暗号セットのみをサポートしています。新しいアルゴリズムを含めるか、他のものを廃止するために、リストは製品のアップグレード後に変更される場合があります。

サポートされている暗号の一部は、HTTP/2 プロトコルにより TLS 1.2 に対しては非セキュアとみなされています。これらは、ブラックリストに載っていない暗号の後にカスタム値のリストに入れる必要があります。これを行わないとプロキシは起動できず、次のエラーが表示されます。

"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites.

With this configuration, clients that don't support previous, approved cipher suites may be given an unapproved one and reject the connection.」(http2: TLSConfig.CipherSuites インデックス %index% には HTTP/2 で承認された暗号 (%ciphername%) が含まれていますが、未承認の暗号の後にあります。この構成では、以前の承認された暗号をサポートしていないクライアントには、HTTP/2 で承認されていない暗号が割り当てられて接続が拒否される可能性があります。)

%index% および %ciphername% は次の変数であることにご留意ください。

  • %index%: インデックス名。
  • %ciphername%: 問題が発生した暗号の名前。

暗号 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC が必要) または TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (t ECDSA のみに対応のサーバーをサポートするため) が必須です。これを行わないとプロキシは起動できず、次のエラーが表示されます。

http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher. 」(TLSConfig.CipherSuites で、HTTP/2 に必要な AES_128_GCM_SHA256 暗号が欠けています。)

サポートされている暗号:

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default (// RC4 ベースの暗号は既定設定では無効)
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default (// 既定設定ではブラックリスト登録済み)
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

カスタム暗号リストへのアクセス

以下を実行します。

  1. QlikNPrintingWebEngine サービスを停止します。
  2. Qlik NPrinting web console をカスタマイズするには、webconsoleproxy\app.conf を開きます。NewsStand をカスタマイズするには、newsstandproxy\app.conf を開きます。
  3. tls.ciphersuites のコメントを外すか、または追加します。
  4. コンマで区切った暗号値のリストを入力します (優先順位の高いものから順に)。
  5. ファイルを保存します。
  6. QlikNPrintingWebEngine サービスを再起動します。

RFC 7540 規格で安全とみなされる暗号のみを設定します。

# set a custom set of supported ciphersuites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"