TLS 暗号
暗号は、ネットワーク通信を暗号化するために使用される一連のアルゴリズムです。Qlik NPrinting コンポーネントはさまざまな暗号に対応しており、各種のセキュリティ プロトコルを使用可能にします。
Qlik NPrinting では、異なるオペレーティング システムやプラットフォームとの互換性を保証するために特定のセキュアな暗号を強制的に設定することは行われていません。
Qlik NPrinting プロキシの暗号
プロキシ構成パラメータ tls.ciphersuites を使用すると、Qlik NPrinting プロキシ内の暗号のカスタムセットを管理できます。
プロキシ構成ファイルは次の通りです。
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
これらのファイルには、カスタマイズ可能な構成プロパティのリストが含まれています。これらはすべて既定設定でコメントされています。これらのファイルは、Qlik NPrinting が新しいバージョンにアップグレードされても変更されません。したがってこの構成プロパティは、古いバージョンからアップグレードするとすぐには表示されません。そのため、設定が失われることはありません。
制限
- Qlik NPrinting プロキシは限られた暗号セットのみをサポートしています。新しいアルゴリズムを含めるか、他のものを廃止するために、リストは製品のアップグレード後に変更される場合があります。
-
サポートされている暗号の一部は、HTTP/2 プロトコルにより TLS 1.2 に対しては非セキュアとみなされています。これらは、ブラックリストに載っていない暗号の後にカスタム値のリストに入れる必要があります。これを行わないとプロキシは起動できず、次のエラーが表示されます。
「http2: TLSConfig.CipherSuites インデックス %index% には HTTP/2 で承認された暗号 (%ciphername%) が含まれています。しかし、これは未承認の暗号の後にあります。この構成では、以前の承認された暗号をサポートしていないクライアントには、HTTP/2 で承認されていない暗号が割り当てられて接続が拒否される可能性があります。
- %index% および %ciphername% は次の変数であることにご留意ください。
- %index%: インデックス名。
- %ciphername%: 問題が発生した暗号の名前。
-
これらの暗号は必須です:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC が必須)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDSA のみのサーバーをサポートするため)
それらが削除されると、プロキシは起動できず、次のエラーが表示されます: 「http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher 」(TLSConfig.CipherSuites で、HTTP/2 に必要な AES_128_GCM_SHA256 暗号が欠けています。)
-
サポートされている暗号
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
カスタム暗号リストへのアクセス
以下を実行します。
- QlikNPrintingWebEngine サービスを停止します。
- Qlik NPrinting ウェブ コンソール をカスタマイズするには、webconsoleproxy\app.conf を開きます。NewsStand をカスタマイズするには、newsstandproxy\app.conf を開きます。
- コメントを外すか、tls.ciphersuites を追加します。
- コンマで区切った暗号値のリストを入力します (優先順位の高いものから順に)。
- ファイルを保存します。
- QlikNPrintingWebEngine サービスを再起動します。
例
RFC 7540 規格で安全とみなされる暗号のみを設定します。
# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
Qlik NPrinting メッセージング サービス 暗号
これらは Qlik NPrinting スケジューラー サービス と Qlik NPrinting Engine の間での TLS 通信のために Qlik NPrinting メッセージング サービス が対応している暗号です。RabbitMQ と TLS 1.2 がこれらに対応しています。
クライアント証明書の認証との TLS 接続を解除してシンプル認証を使用するには、次を参照してください。シンプル認証のためのメッセージ サービスの構成 (英語のみ)。
制限
- Qlik NPrinting メッセージング サービス 用の暗号をカスタマイズすることはできません。
サポートされている暗号
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
ライセンス サービスの暗号
ライセンス サービス構成パラメータ cipher-suites を使用すると、ライセンス サービス内の暗号のカスタムセットを管理できます。
制限
-
新しいバージョンの Qlik NPrinting にアップグレードすると、ライセンス サービス構成ファイルがリセットされます。したがって、cipher-suites パラメーターの変更は、アップグレード後に再度実行する必要があります。
-
ライセンス サービスは限られた暗号セットのみをサポートしています。新しいアルゴリズムを含めるか、他のものを廃止するために、リストは製品のアップグレード後に変更される場合があります。
-
これらの暗号は必須です:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC が必要)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDSA のみのサーバーをサポートするため)
-
サポートされている暗号
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
カスタム暗号リストへのアクセス
以下を実行します。
-
QlikNPrintingScheduler、QlikNPrintingWebEngine、QlikNPrintingLicenseService サービスを停止します。
-
構成ファイル %ProgramFiles%\NPrintingServer\NPrinting\License\license.config を開きます。
-
コメントを外すか、暗号パラメーターを追加します。
-
コンマで区切った暗号値のリストを入力します (優先順位の高いものから順に)。
-
ファイルを保存します。
-
サービスを再起動します。
例
RFC 7540 規格で安全とみなされる暗号のみを設定します。
<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />
トラブルシューティング
Qlik NPrinting Designer エラー「CEF rendering request failed, error: One or more errors occurred.」(CEF レンダリングの要求に失敗しました。エラー: 1 つ以上のエラーが発生しました。)
Qlik Sense 接続からの画像を含むレポート テンプレートで、次のエラーによってプレビューに失敗しました。「CEF rendering request failed, error: One or more errors occurred.」(CEF レンダリングの要求に失敗しました。エラー: 1 つ以上のエラーが発生しました。)
考えられる原因
Qlik NPrinting Server では証明書と暗号のセットを制限しているため、レンダリングの問題が発生します。
提案されたアクション
特定の暗号を有効化する必要があります。
以下を実行します。
- IIS Crypto 2.0 (英語のみ) をダウンロードします。
-
これを管理者権限で実行し、左側の [暗号] タブに移動します。
- 以下の暗号が有効化されます。リストに表示されていない場合は、右側の [追加] ボタンをクリックして入力します。
- Qlik NPrinting Engine または Qlik NPrinting Server がインストールされているマシンで、次の内最低 1 つを有効化する必要があります。
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- Qlik NPrinting Server がインストールされているマシンで、次の内最低 1 つを有効化する必要があります。
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- [OK]、次に [適用] をクリックします。
- マシンを再起動します。