Conjuntos de criptografia TLS
Um conjunto de criptografia é um conjunto de algoritmos usados para criptografar a comunicação de rede. Os componentes do Qlik NPrinting oferecem suporte a uma variedade de conjuntos de criptografia, para permitir diferentes protocolos de segurança.
O Qlik NPrinting não define um conjunto de criptografia de segurança específico como obrigatório, para garantir a compatibilidade com diferentes sistemas operacionais e plataformas.
Conjuntos de criptografia de proxy do Qlik NPrinting
O parâmetro de configuração do proxy tls.ciphersuites permite gerenciar um conjunto personalizado de conjuntos de criptografia no proxy do Qlik NPrinting.
Os arquivos de configuração de proxy são:
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
Esses arquivos contêm a lista de propriedades de configuração personalizáveis, todas comentadas por padrão. Esses arquivos não mudam quando você atualiza para novas versões do Qlik NPrinting. Portanto, essa propriedade de configuração não é imediatamente visível quando você atualiza de versões mais antigas. Isso garante que você não perca suas configurações.
Limitações
- O proxy do Qlik NPrinting oferece suporte a um conjunto limitado de conjuntos de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.
-
Alguns dos conjuntos de criptografia suportados são considerados TLS 1.2 não protegidos pelo protocolo HTTP/2. Eles devem ser colocados na lista de valores personalizados após qualquer criptografia não em lista negra. Caso contrário, o proxy não poderá ser iniciado e você verá este erro:
"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites." Com essa configuração, os clientes que não oferecem suporte para conjuntos de criptografia aprovados anteriormente podem receber um conjunto não aprovado e rejeitar a conexão.
- Observe que %index% e %ciphername% são variáveis que mostrarão:
- %index%: o nome do índice.
- %ciphername%: o nome do conjunto de criptografia que causou o problema.
-
O conjunto de criptografia TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC necessário) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para oferecer suporte a servidores somente do ECDSA) são obrigatórios. Caso contrário, o proxy não poderá ser iniciado, e você verá este erro:
"http2: TLSConfig.CipherSuites não possui uma criptografia AES_128_GCM_SHA256 necessária ao HTTP/2"
Conjuntos de criptografia compatíveis
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// Conjuntos de criptografia baseados em RC4 são desabilitados por padrão
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// relacionado em lista negra por padrão
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Acessando a lista personalizada de conjuntos de criptografia
Faça o seguinte:
- Pare o serviço QlikNPrintingWebEngine.
- Para personalizar o Qlik NPrinting web console, abra webconsoleproxy\app.conf. Para personalizar o NewsStand, abra newsstandproxy\app.conf.
- Remova o comentário ou adicione tls.ciphersuites.
- Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
- Salve o arquivo.
- Reinicie o serviço QlikNPrintingWebEngine.
Exemplo
Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.
Conjuntos de criptografia Qlik NPrinting messaging service
Esses são os conjuntos de criptografia com suporte pelo Qlik NPrinting messaging service para comunicação TLS entre o Qlik NPrinting scheduler service e Qlik NPrinting Engines. Eles possem suporte pelo RabbitMQ e pelo TLS 1.2.
Se quiser desabilitar as conexões TLS com a autenticação de certificado de cliente e usar autenticação simples, consulte: Configurando o serviço de mensagens para autenticação simples.
Limitações
- Conjuntos de criptografia para o Qlik NPrinting messaging service não podem ser personalizados.
Conjuntos de criptografia compatíveis
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Solução de problemas
Erro Qlik NPrinting Designer "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.
Um modelo de relatório que contém uma imagem de uma conexão do Qlik Sense falha na visualização com o erro: "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.
Possible cause
O Qlik NPrinting Server restringiu os conjuntos de certificados e conjuntos de criptografia, o que cria problemas de renderização.
Proposed action
Você precisa habilitar certos conjuntos de criptografia:
Faça o seguinte:
- Faça download do IIS Crypto 2.0.
-
Execute-o com privilégios de administrador e, em seguida, vá para a guia "Conjuntos de criptografia" à esquerda.
- Os seguintes conjuntos de criptografia devem estar habilitados. Se você não conseguir vê-los na lista, clique no botão Adicionar à direita e digite-os.
- Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Engine ou o Qlik NPrinting Server está instalado:
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Server está instalado:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- Clique em OK e, em seguida, em Aplicar.
- Reinicialize a máquina.