Ir para conteúdo principal Pular para conteúdo complementar

Pacotes de criptografia TLS

Um pacote de criptografia é um conjunto de algoritmos usados para criptografar a comunicação de rede. Os componentes do Qlik NPrinting oferecem suporte a uma variedade de pacotes de criptografia, para permitir diferentes protocolos de segurança.

O Qlik NPrinting não define um pacote de criptografia de segurança específico como obrigatório, para garantir a compatibilidade com diferentes sistemas operacionais e plataformas.

Pacotes de criptografia de proxy do Qlik NPrinting

O parâmetro de configuração do proxy tls.ciphersuites permite gerenciar um conjunto personalizado de pacotes de criptografia no proxy Qlik NPrinting.

Os arquivos de configuração de proxy são:

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Esses arquivos contêm a lista de propriedades de configuração personalizáveis, todas comentadas por padrão. Esses arquivos não mudam quando você atualiza para novas versões do Qlik NPrinting. Portanto, essa propriedade de configuração não é imediatamente visível quando você atualiza de versões mais antigas. Isso garante que você não perca suas configurações.

Limitações

  • O proxy do Qlik NPrinting oferece suporte a um conjunto limitado de pacotes de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.
  • Alguns dos conjuntos de criptografia suportados são considerados TLS 1.2 não protegidos pelo protocolo HTTP/2. Eles devem ser colocados na lista de valores personalizados após qualquer criptografia não em lista negra. Caso contrário, o proxy não poderá ser iniciado e você verá este erro:

    "O índice http2: TLSConfig.CipherSuites %index% contém um pacote de cifras aprovado para HTTP/2 (%ciphername%), mas vem depois de pacotes de criptografia não aprovados. Com essa configuração, os clientes que não oferecem suporte para conjuntos de criptografia aprovados anteriormente podem receber um conjunto não aprovado e rejeitar a conexão.

  • Observe que %index% e %ciphername% são variáveis que mostrarão:
    • %index%: o nome do índice.
    • %ciphername%: o nome do pacote de criptografia que causou o problema.
  • Esses pacotes de criptografia são obrigatórios:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obrigatório)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para suporte a servidores somente ECDSA)

    Se forem removidos, o proxy não poderá ser iniciado, e você verá este erro: "http2: TLSConfig.CipherSuites não possui uma criptografia AES_128_GCM_SHA256 necessária ao HTTP/2"

Pacotes de criptografia compatíveis

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acessando a lista personalizada de pacotes de criptografia

Faça o seguinte:

  1. Pare o serviço QlikNPrintingWebEngine.
  2. Para personalizar o Console da Web do Qlik NPrinting, abra webconsoleproxy\app.conf. Para personalizar o NewsStand, abra newsstandproxy\app.conf.
  3. Remova o comentário ou adicione tls.ciphersuites.
  4. Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
  5. Salve o arquivo.
  6. Reinicie o serviço QlikNPrintingWebEngine.

Exemplo

Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.

# set a custom set of supported cipher suites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

Conjuntos de criptografia Qlik NPrinting Messaging Service

Esses são os conjuntos de criptografia com suporte pelo Qlik NPrinting Messaging Service para comunicação TLS entre o Serviço de Agendador do Qlik NPrinting e Qlik NPrinting Engines. Eles possem suporte pelo RabbitMQ e pelo TLS 1.2.

Se quiser desabilitar as conexões TLS com a autenticação de certificado de cliente e usar autenticação simples, consulte: Configurando o serviço de mensagens para autenticação simples (somente em inglês).

Limitações

  • Devido a uma limitação nos certificados usados para conectar-se ao Qlik NPrinting Messaging Service, apenas alguns conjuntos de cifras TLS 1.2 podem ser usados.

  • Conjuntos de cifras com base no modo Cipher Block Chaining (CBC), mesmo se aceitos pelo produto, não são considerados seguros. É recomendado que você use conjuntos de cifras que dependem do modo Galois/Counter (GCM), se aceitos pelo seu sistema operacional.

  • Embora seja possível restringir conjuntos de cifras aceitos pelo serviço de mensagens do Qlik NPrinting ao personalizar o arquivo de configuração RabbitMQ, esse método pode causar erros. Em vez disso, é recomendável desabilitar conjuntos de cifras fracas no nível do sistema operacional Microsoft Windows usando o IIS Crypto ou um produto similar. Certifique-se de deixar pelo menos um dos seguintes conjuntos de cifras ativados (juntamente com outros conjuntos de cifras necessários). Para obter mais informações, consulte Como usar a GUI do IIS Crypto para habilitar ou desabilitar conjuntos de cifras em uma máquina do SO Microsoft Windows.

Pacotes de criptografia compatíveis


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Pacotes de criptografia do serviço de licenciamento

O parâmetro de configuração do serviço de licença cipher-suites permite gerenciar um conjunto personalizado de pacotes de criptografia no serviço de licenciamento.

Limitações

  • O arquivo de configuração do serviço de licenciamento é redefinido quando você faz upgrade para uma nova versão do Qlik NPrinting. Portanto, uma alteração no parâmetro cipher-suites deve ser feita novamente após um upgrade.

  • O serviço de licenciamento oferece suporte a um conjunto limitado de pacotes de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.

  • Esses pacotes de criptografia são obrigatórios:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC necessário) 

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para oferecer suporte a servidores somente ECDSA)

Pacotes de criptografia compatíveis

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA25
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Acessando a lista personalizada de pacotes de criptografia

Faça o seguinte:

  1. Pare os serviços QlikNPrintingSchedulerQlikNPrintingWebEngine e QlikNPrintingLicenseService.

  2. Abra o arquivo de configuração %ProgramFiles%\NPrintingServer\NPrinting\License\license.config.

  3. Remova o comentário ou adicione o parâmetro cipher-suites.

  4. Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.

  5. Salve o arquivo.

  6. Reinicie os serviços.

Exemplo

Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.

<!--Add a custom comma-separated list of cipher suites as shown below-->
<add key="cipher-suites" value="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" />

 

Qlik NPrinting Server e conjuntos de cifras do Engine para se conectar a um servidor Qlik Sense

Estes são os conjuntos de cifras com suporte pelo Qlik NPrinting Server e serviço Qlik NPrinting Engine para comunicação TLS entre o Qlik NPrinting e o Qlik Sense. Pelo menos um deles deve estar habilitado em todos:

  • Máquinas Qlik NPrinting Server

  • Máquinas Qlik NPrinting Engine

  • Máquinas Qlik Sense (incluindo todos os nós Sense) que se conectam ao Qlik NPrinting

Observe que o Qlik NPrinting usa esses conjuntos de cifras para publicar relatórios para servidores do Qlik Sense. Para obter mais informações, consulte Distribuindo relatórios para o hub do Qlik Sense (somente em inglês)

Pacotes de criptografia compatíveis


TLS_ECDHE_RSA_AES128_GCM_SHA256
TLS_ECDHE_RSA_AES256_GCM_SHA384

Como usar a GUI do IIS Crypto para habilitar ou desabilitar conjuntos de cifras em uma máquina do SO Microsoft Windows

Faça o seguinte:

  1. Baixe o IIS Crypto 3.3 ou uma versão mais recente em Downloads de software Nartac (somente em inglês).
  2. Execute-o com privilégios de administrador e vá para "Conjuntos de Cifras" na barra lateral à esquerda.

  3. Habilite os conjuntos de cifras solicitados listados acima para todos os componentes do Qlik NPrinting. Se não estiverem presentes, você poderá adicioná-los usando o botão apropriado.

    Essa etapa só funcionará se esses conjuntos de cifras forem compatíveis com seu sistema operacional.

  4. Clique em Aplicar.
  5. Reinicialize a máquina.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!