TLS 暗号
暗号は、ネットワーク通信を暗号化するために使用される一連のアルゴリズムです。Qlik NPrinting コンポーネントはさまざまな暗号に対応しており、各種のセキュリティ プロトコルを使用可能にします。
Qlik NPrinting では、異なるオペレーティング システムやプラットフォームとの互換性を保証するために特定のセキュアな暗号を強制的に設定することは行われていません。
Qlik NPrinting プロキシの暗号
プロキシ構成パラメータ tls.ciphersuites を使用すると、Qlik NPrinting プロキシ内の暗号のカスタムセットを管理できます。
プロキシ構成ファイルは次の通りです。
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
これらのファイルには、カスタマイズ可能な構成プロパティのリストが含まれています。これらはすべて既定設定でコメントされています。これらのファイルは、Qlik NPrinting が新しいバージョンにアップグレードされても変更されません。したがってこの構成プロパティは、古いバージョンからアップグレードするとすぐには表示されません。そのため、設定が失われることはありません。
制限
- Qlik NPrinting プロキシは限られた暗号セットのみをサポートしています。新しいアルゴリズムを含めるか、他のものを廃止するために、リストは製品のアップグレード後に変更される場合があります。
-
サポートされている暗号の一部は、HTTP/2 プロトコルにより TLS 1.2 に対しては非セキュアとみなされています。これらは、ブラックリストに載っていない暗号の後にカスタム値のリストに入れる必要があります。これを行わないとプロキシは起動できず、次のエラーが表示されます。
「http2: TLSConfig.CipherSuites インデックス %index% には HTTP/2 で承認された暗号 (%ciphername%) が含まれています。しかし、これは未承認の暗号の後にあります。この構成では、以前の承認された暗号をサポートしていないクライアントには、HTTP/2 で承認されていない暗号が割り当てられて接続が拒否される可能性があります。
- %index% および %ciphername% は次の変数であることにご留意ください。
- %index%: インデックス名。
- %ciphername%: 問題が発生した暗号の名前。
-
これらの暗号は必須です:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC が必須)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDSA のみのサーバーをサポートするため)
それらが削除されると、プロキシは起動できず、次のエラーが表示されます: 「http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher 」(TLSConfig.CipherSuites で、HTTP/2 に必要な AES_128_GCM_SHA256 暗号が欠けています。)
-
サポートされている暗号
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
カスタム暗号リストへのアクセス
以下を実行します。
- QlikNPrintingWebEngine サービスを停止します。
- Qlik NPrinting ウェブ コンソール をカスタマイズするには、webconsoleproxy\app.conf を開きます。NewsStand をカスタマイズするには、newsstandproxy\app.conf を開きます。
- コメントを外すか、tls.ciphersuites を追加します。
- コンマで区切った暗号値のリストを入力します (優先順位の高いものから順に)。
- ファイルを保存します。
- QlikNPrintingWebEngine サービスを再起動します。
例
RFC 7540 規格で安全とみなされる暗号のみを設定します。
# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
Qlik NPrinting メッセージング サービス 暗号
これらは Qlik NPrinting スケジューラー サービス と Qlik NPrinting Engine の間での TLS 通信のために Qlik NPrinting メッセージング サービス が対応している暗号です。RabbitMQ と TLS 1.2 がこれらに対応しています。
クライアント証明書の認証との TLS 接続を解除してシンプル認証を使用するには、次を参照してください。シンプル認証のためのメッセージ サービスの構成 (英語のみ)。
制限
-
Qlik NPrinting メッセージング サービス への接続に使用される証明書の制限により、いくつかの TLS 1.2 暗号のみが使用できます。
-
Cipher Block Chaining (CBC) モードに基づいた暗号は、製品でサポートされていても、安全とはみなされません。オペレーティングシステムでサポートされていない場合、Galois/Counter Mode (GCM) に依存する暗号を使用することが推奨されます。
-
RabbitMQ をカスタマイズする場合、Qlik NPrinting メッセージ サービスによって承認された暗号を制限することは可能ですが、この方法ではエラーが発生する可能性があります。その代わりに、IIS Crypto または類似製品を使って Microsoft Windows オペレーティングシステムで弱い暗号を無効化することが推奨されます。(他に必要な暗号とともに) 次の暗号のうち少なくとも 1 つを有効なままにしておいてください。詳しくは、「IIS Crypto GUI を使って、Microsoft Windows OS マシンで暗号を有効化または無効化する方法」を参照してください。
サポートされている暗号
TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384
ライセンス サービスの暗号
ライセンス サービス構成パラメータ cipher-suites を使用すると、ライセンス サービス内の暗号のカスタムセットを管理できます。
制限
-
新しいバージョンの Qlik NPrinting にアップグレードすると、ライセンス サービス構成ファイルがリセットされます。したがって、cipher-suites パラメーターの変更は、アップグレード後に再度実行する必要があります。
-
ライセンス サービスは限られた暗号セットのみをサポートしています。新しいアルゴリズムを含めるか、他のものを廃止するために、リストは製品のアップグレード後に変更される場合があります。
-
これらの暗号は必須です:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC が必要)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDSA のみのサーバーをサポートするため)
-
サポートされている暗号
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
カスタム暗号リストへのアクセス
以下を実行します。
-
QlikNPrintingScheduler、QlikNPrintingWebEngine、QlikNPrintingLicenseService サービスを停止します。
-
構成ファイル %ProgramFiles%\NPrintingServer\NPrinting\License\license.config を開きます。
-
コメントを外すか、暗号パラメーターを追加します。
-
コンマで区切った暗号値のリストを入力します (優先順位の高いものから順に)。
-
ファイルを保存します。
-
サービスを再起動します。
例
RFC 7540 規格で安全とみなされる暗号のみを設定します。
<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />
Qlik Sense サーバーに接続する Qlik NPrinting Server と Engine 暗号
これらは Qlik NPrinting と Qlik Sense の間での TLS 通信のために Qlik NPrinting Server と Qlik NPrinting Engine サービスが対応している暗号です。これらのうち少なくとも 1 つはすべてで有効にする必要があります:
-
Qlik NPrinting Server マシン
-
Qlik NPrinting Engine マシン
-
Qlik NPrinting に接続する Qlik Sense マシン (すべての Sense ノードを含む)
Qlik NPrinting がこれらの暗号を使ってレポートを Qlik Sense サーバーに公開することに注意してください。詳細については、次を参照してください Qlik Sense ハブにレポートを配信する (英語のみ)
サポートされている暗号
TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384
IIS Crypto GUI を使って、Microsoft Windows OS マシンで暗号を有効化または無効化する方法
以下を実行します。
- IIS Crypto 3.3 以上のバージョンを Nartac Software ダウンロード (英語のみ)からダウンロードします。
-
これを管理者権限で実行し、左側のサイドバーにある [暗号] に移動します。
-
すべての Qlik NPrinting コンポーネント上にリストされた要求済み暗号を有効にします。ない場合は、適切なボタンを使って追加できます。
このステップは、これらの暗号がお使いのオペレーティングシステムでサポートされている場合にのみうまくいきます。
- [適用] をクリックします。
- マシンを再起動します。