Pacotes de criptografia TLS
Um pacote de criptografia é um conjunto de algoritmos usados para criptografar a comunicação de rede. Os componentes do Qlik NPrinting oferecem suporte a uma variedade de pacotes de criptografia, para permitir diferentes protocolos de segurança.
O Qlik NPrinting não define um pacote de criptografia de segurança específico como obrigatório, para garantir a compatibilidade com diferentes sistemas operacionais e plataformas.
Pacotes de criptografia de proxy do Qlik NPrinting
O parâmetro de configuração do proxy tls.ciphersuites permite gerenciar um conjunto personalizado de pacotes de criptografia no proxy Qlik NPrinting.
Os arquivos de configuração de proxy são:
- %ProgramData%\NPrinting\webconsoleproxy\app.conf
- %ProgramData%\NPrinting\newsstandproxy\app.conf
Esses arquivos contêm a lista de propriedades de configuração personalizáveis, todas comentadas por padrão. Esses arquivos não mudam quando você atualiza para novas versões do Qlik NPrinting. Portanto, essa propriedade de configuração não é imediatamente visível quando você atualiza de versões mais antigas. Isso garante que você não perca suas configurações.
Limitações
- O proxy do Qlik NPrinting oferece suporte a um conjunto limitado de pacotes de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.
-
Alguns dos conjuntos de criptografia suportados são considerados TLS 1.2 não protegidos pelo protocolo HTTP/2. Eles devem ser colocados na lista de valores personalizados após qualquer criptografia não em lista negra. Caso contrário, o proxy não poderá ser iniciado e você verá este erro:
"O índice http2: TLSConfig.CipherSuites %index% contém um pacote de cifras aprovado para HTTP/2 (%ciphername%), mas vem depois de pacotes de criptografia não aprovados. Com essa configuração, os clientes que não oferecem suporte para conjuntos de criptografia aprovados anteriormente podem receber um conjunto não aprovado e rejeitar a conexão.
- Observe que %index% e %ciphername% são variáveis que mostrarão:
- %index%: o nome do índice.
- %ciphername%: o nome do pacote de criptografia que causou o problema.
-
Esses pacotes de criptografia são obrigatórios:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obrigatório)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para suporte a servidores somente ECDSA)
Se forem removidos, o proxy não poderá ser iniciado, e você verá este erro: "http2: TLSConfig.CipherSuites não possui uma criptografia AES_128_GCM_SHA256 necessária ao HTTP/2"
-
Pacotes de criptografia compatíveis
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Acessando a lista personalizada de pacotes de criptografia
Faça o seguinte:
- Pare o serviço QlikNPrintingWebEngine.
- Para personalizar o Console da Web do Qlik NPrinting, abra webconsoleproxy\app.conf. Para personalizar o NewsStand, abra newsstandproxy\app.conf.
- Remova o comentário ou adicione tls.ciphersuites.
- Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
- Salve o arquivo.
- Reinicie o serviço QlikNPrintingWebEngine.
Exemplo
Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.
# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
Conjuntos de criptografia Qlik NPrinting Messaging Service
Esses são os conjuntos de criptografia com suporte pelo Qlik NPrinting Messaging Service para comunicação TLS entre o Serviço de Agendador do Qlik NPrinting e Qlik NPrinting Engines. Eles possem suporte pelo RabbitMQ e pelo TLS 1.2.
Se quiser desabilitar as conexões TLS com a autenticação de certificado de cliente e usar autenticação simples, consulte: Configurando o serviço de mensagens para autenticação simples (somente em inglês).
Limitações
- Pacotes de criptografia para o Qlik NPrinting Messaging Service não podem ser personalizados.
Pacotes de criptografia compatíveis
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Pacotes de criptografia do serviço de licenciamento
O parâmetro de configuração do serviço de licença cipher-suites permite gerenciar um conjunto personalizado de pacotes de criptografia no serviço de licenciamento.
Limitações
-
O arquivo de configuração do serviço de licenciamento é redefinido quando você faz upgrade para uma nova versão do Qlik NPrinting. Portanto, uma alteração no parâmetro cipher-suites deve ser feita novamente após um upgrade.
-
O serviço de licenciamento oferece suporte a um conjunto limitado de pacotes de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.
-
Esses pacotes de criptografia são obrigatórios:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC necessário)
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para oferecer suporte a servidores somente ECDSA)
-
Pacotes de criptografia compatíveis
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Acessando a lista personalizada de pacotes de criptografia
Faça o seguinte:
-
Pare os serviços QlikNPrintingScheduler, QlikNPrintingWebEngine e QlikNPrintingLicenseService.
-
Abra o arquivo de configuração %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.
-
Remova o comentário ou adicione o parâmetro cipher-suites.
-
Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
-
Salve o arquivo.
-
Reinicie os serviços.
Exemplo
Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.
<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />
Solução de problemas
Erro Qlik NPrinting Designer "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.
Um modelo de relatório que contém uma imagem de uma conexão do Qlik Sense falha na visualização com o erro: "Falha na solicitação de renderização CEF, erro: Ocorreram um ou mais erros.
Possível causa
O Qlik NPrinting Server restringiu os conjuntos de certificados e conjuntos de criptografia, o que cria problemas de renderização.
Ação proposta
Você precisa habilitar certos conjuntos de criptografia:
Faça o seguinte:
- Faça download do IIS Crypto 2.0 (somente em inglês).
-
Execute-o com privilégios de administrador e, em seguida, vá para a guia "Conjuntos de criptografia" à esquerda.
- Os seguintes conjuntos de criptografia devem estar habilitados. Se você não conseguir vê-los na lista, clique no botão Adicionar à direita e digite-os.
- Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Engine ou o Qlik NPrinting Server está instalado:
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- Você deve habilitar pelo menos um dos seguintes na máquina em que o Qlik NPrinting Server está instalado:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- Clique em OK e, em seguida, em Aplicar.
- Reinicialize a máquina.