Zulassungsliste für Peer-Validierung
Alteryx hat Sicherheitsprüfungen für Funktionen hinzugefügt, die sich auf das Öffnen von TLS- oder SSL-Verbindungen beziehen, z. B. Verbindungen zu
Dies setzt voraus, dass die Verbindung zu einem Dienst mit TLS gesichert ist und dass der verbundene Server ein gültiges, vertrauenswürdiges von der Zertifizierungsstelle (CA) signiertes Zertifikat bereitstellt. Die Validierung muss entlang der gesamten Zertifizierungsstellenkette zum Stammzertifikat gehen und Zertifikate anhand der Microsoft Windows-Zertifikatspeicherliste der vertrauenswürdigen Zertifizierungsstellen validieren. Linux wird aktuell nicht unterstützt.
Diese Funktion wurde anfänglich in den Versionen 2022.1+ Designer-FIPS und 2022.2 Server-FIPS aktiviert, und es gibt keine Möglichkeit, sie zu deaktivieren.
Die Peer-Validierung ist jetzt auch für die nicht-FIPS 2022.3+ Versionen aktiviert.
Zulassungsliste für die Peer-Validierung einrichten
Wir wissen, dass bei einigen Administratoren und Benutzern Probleme mit dieser Änderung auftreten können. Das gilt insbesondere bei bestehenden Workflows oder Serverumgebungen, die unsichere Verbindungen oder TLS-Verbindungen mit selbstsignierten, ungültigen oder nicht vertrauenswürdigen Zertifikaten verwenden.
Um diese Probleme zu umgehen und weiterhin unsichere Verbindungen oder TLS-Verbindungen zu verwenden, die Zertifikate nutzen, die nicht validiert werden können, müssen Sie der Zulassungsliste eine Ausnahme hinzufügen.
Die Zulassungsliste enthält Einträge von URL-Sites, die bei aktivierter Peer-Validierung normalerweise fehlschlagen.
Fügen Sie URL-Ausnahmen zur Textdatei mit dem Namen
PeerValidationBypass.txthinzu.Sie müssen die Datei unter
C:\ProgramData\Alteryx\PeerValidationBypass.txtablegen.Wenn diese Datei nicht vorhanden ist, ist die Peer-Validierung standardmäßig aktiviert. Beachten Sie jedoch, dass die Peer-Validierung durch das Vorhandensein der Datei nicht deaktiviert wird. Sie ermöglicht nur, dass Designer und Server die Peer-Validierung ignorieren können, wenn eine Verbindung zu den in der Datei aufgeführten spezifischen Sites hergestellt wird.
Anforderungen für PeerValidationBypass.txt
Einträge in der Datei PeerValidationBypass.txt müssen mehreren Regeln folgen:
Ein vollständig qualifizierter Domänenname (FQDN)-Eintrag pro Zeile.
Geben Sie nur den Hostnamen ein.
Entfernen Sie das
protocol://am Anfang der URL.Entfernen Sie alle Pfade, Abfragen und Kennwörter aus der URL.
Lassen Sie zwischen den Einträgen keine Leerzeilen.
Using Wildcards
You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.
A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…
The Top-Level Domain (TLD) is
com.The labels follow the TLD.
alteryxis Label1 andhelpis Label2.A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.
It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).
The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.
Anmerkung
A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:
hostname.SLD.TLD
When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:
An asterisk (*) character matches 0 or more valid label characters.
A question mark (?) character matches exactly 1 valid label character.
Domain Name Entry Details
For a domain name entry…
If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.
If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.
Example Invalid Domain Name Entries
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???
IPv4 Address Entry Details
For an IPv4 address entry…
Wildcard characters are not allowed in the first two fields.
Wildcard matching is performed in the last two fields.
Example Invalid IPv4 Entries
192.*.*.23, ???.*.123.234, and *.10.100.200
Beispieleintrag
Example 1
Suppose Peer Validation blocks this URL:
https://ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file, enter this:
ThisIsATest.com
Example 2
Suppose you want to block these URLs with a similar pattern:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:
*.ThisIsATest.com
Example 3
To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:
*.country.france.fr
Anmerkung
TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.
Example 4
To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:
123.12.123.?
Zusätzliche Hinweise
Nachdem Sie
PeerValidationBypass.txtbearbeitet haben, sucht das System jedes Mal nach einer Übereinstimmung, wenn Sie cURL/OpenSSL in Alteryx-Tools verwenden. Wenn Designer oder Server eine Übereinstimmung findet, wird die Peer-Validierung deaktiviert.Bitte beachten Sie, dass FIPS-Produkte die Zulassungsliste ignorieren.
Um Fehler bei der SSL Peer-Validierung zu vermeiden, wenn der externe Server ein von einer Zwischenzertifizierungsstelle signiertes SSL-Zertifikat erfordert, fügen Sie die erforderliche Zwischenzertifizierungsstelle zum Ordner Vertrauenswürdige Stammzertifizierungsstellen – Zertifikate in der Microsoft Management Console hinzu.