Skip to main content

Zulassungsliste für Peer-Validierung

Alteryx hat Sicherheitsprüfungen für Funktionen hinzugefügt, die sich auf das Öffnen von TLS- oder SSL-Verbindungen beziehen, z. B. Verbindungen zu https://-URLs, die cURL und OpenSSL verwenden. Sie können die Sicherheitsprüfungen mit der Einstellung für die Peer-Validierung anpassen.

Dies setzt voraus, dass die Verbindung zu einem Dienst mit TLS gesichert ist und dass der verbundene Server ein gültiges und vertrauenswürdiges von der Zertifizierungsstelle (CA) signiertes Zertifikat bereitstellt. Die Validierung muss entlang der gesamten Zertifizierungsstellenkette zum Stammzertifikat gehen und Zertifikate anhand der Microsoft Windows-Zertifikatspeicherliste der vertrauenswürdigen Zertifizierungsstellen validieren. Linux wird aktuell nicht unterstützt.

  • Diese Funktion wurde anfänglich in den Versionen 2022.1+ Designer-FIPS und 2022.2 Server-FIPS aktiviert, und sie kann nicht deaktiviert werden.

  • Die Peer-Validierung ist jetzt auch für die nicht-FIPS 2022.3+ Versionen aktiviert.

Zulassungsliste für die Peer-Validierung einrichten

Wir wissen, dass bei manchen Administratoren und Benutzern bei dieser Änderung Probleme auftreten können, insbesondere bei bestehenden Workflows oder Serverumgebungen, die unsichere Verbindungen oder TLS-Verbindungen verwenden, die selbstsignierte, ungültige oder nicht vertrauenswürdige Zertifikate nutzen.

Um diese Probleme zu umgehen und weiterhin unsichere Verbindungen oder TLS-Verbindungen zu verwenden, die Zertifikate nutzen, die nicht validiert werden können, müssen Sie der Zulassungsliste eine Ausnahme hinzufügen.

  • Die Zulassungsliste enthält Einträge von URL-Sites, die bei aktivierter Peer-Validierung normalerweise fehlschlagen.

  • Fügen Sie URL-Ausnahmen zur Textdatei mit dem Namen PeerValidationBypass.txt hinzu.

  • Sie müssen die Datei unter C:\ProgramData\Alteryx\PeerValidationBypass.txt ablegen.

  • Wenn diese Datei nicht vorhanden ist, ist die Peer-Validierung standardmäßig aktiviert. Beachten Sie jedoch, dass die Peer-Validierung durch das Vorhandensein der Datei nicht deaktiviert wird. Sie ermöglicht nur dann, dass Designer und Server die Peer-Validierung ignorieren können, wenn eine Verbindung zu den in der Datei aufgeführten spezifischen Sites hergestellt wird.

Anforderungen für PeerValidationBypass.txt

Einträge in der Datei PeerValidationBypass.txt müssen mehreren Regeln folgen:

  • Ein vollständig qualifizierter Domänenname (FQDN)-Eintrag pro Zeile.

  • Geben Sie nur den Domänennamen oder die IP-Adresse ein.

  • Entfernen Sie das protocol:// am Anfang der URL.

  • Entfernen Sie alle Pfade, Abfragen und Kennwörter aus der URL.

  • Lassen Sie zwischen den Einträgen keine Leerzeilen.

Verwenden von Platzhaltern

Sie können PeerValidationBypass.txt mit FQDNs und IPv4-Adressen konfigurieren, die Platzhalterzeichen enthalten.

Ein Domänenname ist eine einfache Struktur, die aus mehreren Feldern besteht, die durch Punkte getrennt sind und die von rechts nach links gelesen wird. Ein Beispiel für einen Domänennamen ist help.alteryx.com. Dabei gilt:

  • Die Domäne der obersten Ebene (Top-Level Domain, TLD) ist com.

  • Die Label folgen der TLD. alteryx ist Label1 und help ist Label2.

    • Ein Label ist eine Zeichenfolge mit einer Länge von bis zu 63 Zeichen, bei der die Groß- und Kleinschreibung nicht beachtet wird.

    • Es enthält nur die Buchstaben A bis Z, die Ziffern 0 bis 9 sowie den Bindestrich (-) (der nicht das erste oder letzte Zeichen im Label sein darf).

  • Das Label direkt vor der TLD wird auch als Second Level Domain (SLD) bezeichnet. Im obigen Beispiel ist das „Alteryx“.

    Anmerkung

    Ein Domänenname kann nur aus einem Feld bestehen, oder er kann aus zwei, drei oder mehr als drei Feldern bestehen. Ein vollständig qualifizierter Domänenname (FQDN) hat immer das folgende Format:

    hostname.SLD.TLD

Wenn PeerValidationBypass.txt geparst wird, um zu ermitteln, ob das TLS-Zertifikat eines bestimmten Endpunkts validiert werden soll, interpretiert der Parser Platzhalter wie folgt:

  • Ein Sternchen (*) entspricht 0 oder mehr gültigen Label-Zeichen.

  • Ein Fragezeichen (?) entspricht genau einem gültigen Label-Zeichen.

Details des Domainnamen-Eintrags

Für einen Domänennamen-Eintrag gilt:

  • Wenn die TLD eine Ländercode-TLD ist, sind in den letzten drei Feldern keine Platzhalterzeichen zulässig. Der Platzhalter-Abgleich wird ab Label 3 durchgeführt.

  • Wenn die TLD keine Ländercode-TLD ist, sind in den letzten beiden Feldern keine Platzhalterzeichen zulässig. Der Platzhalter-Abgleich wird ab Label 2 durchgeführt.

Beispiele für ungültige Domänennamen-Einträge

???.*.com.fr, alteryx*.help.n?t, alteryx.*.net und hello.world.example*.???

Details des IPv4-Adresseintrags

Für IPv4-Adresseinträge gilt:

  • Platzhalterzeichen in den ersten beiden Feldern sind nicht zulässig.

  • Der Platzhalter-Abgleich wird in den letzten beiden Feldern durchgeführt.

Beispiel für ungültige IPv4-Einträge

192.*.*.23, ???.*.123.234 und *.10.100.200

Beispieleinträge

Beispiel 1

Nehmen wir an, dass die Peer-Validierung diese URL blockiert:

https://ThisIsATest.com/?category.id=External

Geben Sie in der Datei PeerValidationBypass.txt Folgendes ein:

ThisIsATest.com

Beispiel 2

Angenommen, Sie möchten diese URLs mit einem ähnlichen Muster blockieren:

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

In der Datei PeerValidationBypass.txt können Sie alle drei URLs mit nur einem Eintrag mithilfe eines Platzhalters blockieren:

*.ThisIsATest.com

Beispiel 3

Um visit.country.france.fr und work.country.france.fr zu blockieren, geben Sie Folgendes in die Datei PeerValidationBypass.txt ein:

*.country.france.fr

Anmerkung

TLD ist ein Ländercode. Daher sind in den letzten drei Feldern keine Platzhalterzeichen zulässig: country.france.fr.

Beispiel 4

Um die IPv4-Adressen 123.12.123.1 und 123.12.123.2 zu blockieren, geben Sie in der Datei PeerValidationBypass.txt Folgendes ein:

123.12.123.?

Zusätzliche Hinweise

  • Nachdem Sie PeerValidationBypass.txt bearbeitet haben, sucht das System jedes Mal nach einer Übereinstimmung, wenn Sie cURL/OpenSSL in Alteryx-Tools verwenden. Wenn Designer oder Server eine Übereinstimmung findet, wird die Peer-Validierung deaktiviert.

  • Bitte beachten Sie, dass FIPS-Produkte die Zulassungsliste ignorieren.

  • Um Fehler bei der SSL Peer-Validierung zu vermeiden, wenn der externe Server ein von einer Zwischenzertifizierungsstelle signiertes SSL-Zertifikat verlangt, fügen Sie die erforderliche Zwischenzertifizierungsstelle zum Ordner Vertrauenswürdige StammzertifizierungsstellenZertifikate in der Microsoft Management Console hinzu.

In diesem Abschnitt: