Ir para conteúdo principal

Conjuntos de criptografia TLS

NESTA PÁGINA

Conjuntos de criptografia TLS

Um conjunto de criptografia é um conjunto de algoritmos usados para criptografar a comunicação de rede. Os componentes do Qlik NPrinting oferecem suporte a uma variedade de conjuntos de criptografia, para permitir diferentes protocolos de segurança.

O Qlik NPrinting não define um conjunto de criptografia de segurança específico como obrigatório, para garantir a compatibilidade com diferentes sistemas operacionais e plataformas.

Conjuntos de criptografia de proxy do Qlik NPrinting

O parâmetro de configuração do proxy tls.ciphersuites permite gerenciar um conjunto personalizado de conjuntos de criptografia no proxy do Qlik NPrinting.

Os arquivos de configuração de proxy são:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Esses arquivos contêm a lista de propriedades de configuração personalizáveis, todas comentadas por padrão. Esses arquivos não mudam quando você atualiza para novas versões do Qlik NPrinting. Portanto, essa propriedade de configuração não é imediatamente visível quando você atualiza de versões mais antigas. Isso garante que você não perca suas configurações.

Limitações

  • O proxy do Qlik NPrinting oferece suporte a um conjunto limitado de conjuntos de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.

  • Alguns dos conjuntos de criptografia suportados são considerados TLS 1.2 não protegidos pelo protocolo HTTP/2. Eles devem ser colocados na lista de valores personalizados após qualquer criptografia não em lista negra. Caso contrário, o proxy não poderá ser iniciado e você verá este erro:

    "http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites." Com essa configuração, os clientes que não oferecem suporte para conjuntos de criptografia aprovados anteriormente podem receber um conjunto não aprovado e rejeitar a conexão.

  • Observe que %index% e %ciphername% são variáveis que mostrarão:
    • %index%: o nome do índice.
    • %ciphername%: o nome do conjunto de criptografia que causou o problema.

  • O conjunto de criptografia TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC necessário) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para oferecer suporte a servidores somente do ECDSA) são obrigatórios. Caso contrário, o proxy não poderá ser iniciado, e você verá este erro:

    "http2: TLSConfig.CipherSuites não possui uma criptografia AES_128_GCM_SHA256 necessária ao HTTP/2"

Conjuntos de criptografia compatíveis

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

// Conjuntos de criptografia baseados em RC4 são desabilitados por padrão

TLS_RSA_WITH_RC4_128_SHA

TLS_ECDHE_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA

// relacionado em lista negra por padrão

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acessando a lista personalizada de conjuntos de criptografia

Faça o seguinte:

  1. Pare o serviço QlikNPrintingWebEngine.
  2. Para personalizar o Qlik NPrinting web console, abra webconsoleproxy\app.conf. Para personalizar o NewsStand, abra newsstandproxy\app.conf.
  3. Remova o comentário ou adicione tls.ciphersuites.
  4. Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
  5. Salve o arquivo.
  6. Reinicie o serviço QlikNPrintingWebEngine.

Exemplo

Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.

# defina um conjunto personalizado de conjuntos de criptografia com suporte ordenados do mais para o menos preferido
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

 

Conjuntos de criptografia Qlik NPrinting messaging service

Esses são os conjuntos de criptografia com suporte pelo Qlik NPrinting messaging service para comunicação TLS entre o Qlik NPrinting scheduler service e Qlik NPrinting Engines. Eles possem suporte pelo RabbitMQ e pelo TLS 1.2.

Se quiser desabilitar as conexões TLS com a autenticação de certificado de cliente e usar autenticação simples, consulte: Configurando o serviço de mensagens para autenticação simples.

Limitações

  • Conjuntos de criptografia para o Qlik NPrinting messaging service não podem ser personalizados.

Conjuntos de criptografia compatíveis

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

Solução de problemas

Erro Qlik NPrinting Designer "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.

Um modelo de relatório que contém uma imagem de uma conexão do Qlik Sense falha na visualização com o erro: "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.

Possible cause  

O Qlik NPrinting Server restringiu os conjuntos de certificados e conjuntos de criptografia, o que cria problemas de renderização.

Proposed action  

Você precisa habilitar certos conjuntos de criptografia:

Faça o seguinte:

  1. Faça download do IIS Crypto 2.0.

  2. Execute-o com privilégios de administrador e, em seguida, vá para a guia "Conjuntos de criptografia" à esquerda.

  3. Os seguintes conjuntos de criptografia devem estar habilitados. Se você não conseguir vê-los na lista, clique no botão Adicionar à direita e digite-os.
    1. Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Engine ou o Qlik NPrinting Server está instalado:
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_GCM_SHA256
      • TLS_RSA_WITH_AES_256_GCM_SHA384
    2. Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Server está instalado:

      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  4. Clique em OK e, em seguida, em Aplicar.
  5. Reinicialize a máquina.