Elenco "Consenti" per la convalida dei peer
Alteryx ha aggiunto controlli di sicurezza alla funzionalità di apertura delle connessioni TLS o SSL, ad esempio le connessioni agli URL
Ciò richiede che la connessione a un servizio sia protetta tramite protocollo TLS e che il server connesso fornisca un certificato valido firmato da un'autorità di certificazione (CA) attendibile. La convalida deve essere estesa lungo la catena di certificazione (CA) fino al certificato radice, e i certificati devono essere convalidati a fronte della lista di autorità di certificazione attendibili dell'archivio certificati di Microsoft Windows. Al momento non è disponibile alcun supporto per Linux.
Questa funzionalità è stata inizialmente abilitata nelle versioni 2022.1+ di Designer-FIPS e 2022.2 di Server-FIPS e non è possibile disattivarla.
La convalida dei peer è ora abilitata anche per le versioni non FIPS 2022.3+.
Imposta l'elenco Consenti per la convalida dei peer
Sappiamo che alcuni amministratori e utenti potrebbero riscontrare problemi con questa modifica, Questo vale particolarmente per flussi di lavoro già esistenti, oppure ambienti server che utilizzano connessioni non sicure o connessioni TLS che impiegano certificati autofirmati, non validi o non attendibili.
Per risolvere questi problemi, e continuare a utilizzare connessioni non sicure o connessioni TLS che impiegano certificati senza convalida, devi aggiungere un'eccezione all'elenco Consenti.
L'elenco Consenti include gli URL che normalmente non sono accessibili quando l'impostazione Convalida peer è attiva.
Aggiungi eccezioni URL al file di testo denominato
PeerValidationBypass.txt.Il file deve essere salvato in
C:\ProgramData\Alteryx\PeerValidationBypass.txt.Qualora il file non esistesse, la Convalida peer sarà attivata per impostazione predefinita. È importante notare, tuttavia, che l'esistenza del file non disattiva automaticamente la convalida dei peer. Consente solo a Designer e Server di ignorare tale convalida durante la connessione ai siti specifici elencati nel file.
Requisiti del file PeerValidationBypass.txt
Le voci riportate nel file PeerValidationBypass.txt devono seguire svariate regole:
Una voce FQDN (Fully Qualified Domain Name) per riga.
Immissione del solo nome host.
Rimozione del
protocollo://dall'inizio dell'URL.Rimozione di qualsiasi percorso, query e password dall'URL.
Nessuna riga vuota tra le voci.
Using Wildcards
You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.
A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…
The Top-Level Domain (TLD) is
com.The labels follow the TLD.
alteryxis Label1 andhelpis Label2.A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.
It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).
The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.
Nota
A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:
hostname.SLD.TLD
When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:
An asterisk (*) character matches 0 or more valid label characters.
A question mark (?) character matches exactly 1 valid label character.
Domain Name Entry Details
For a domain name entry…
If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.
If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.
Example Invalid Domain Name Entries
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???
IPv4 Address Entry Details
For an IPv4 address entry…
Wildcard characters are not allowed in the first two fields.
Wildcard matching is performed in the last two fields.
Example Invalid IPv4 Entries
192.*.*.23, ???.*.123.234, and *.10.100.200
Voce esempio
Example 1
Suppose Peer Validation blocks this URL:
https://ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file, enter this:
ThisIsATest.com
Example 2
Suppose you want to block these URLs with a similar pattern:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:
*.ThisIsATest.com
Example 3
To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:
*.country.france.fr
Nota
TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.
Example 4
To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:
123.12.123.?
Note aggiuntive
Dopo aver modificato il file
PeerValidationBypass.txt, verrà ricercata una corrispondenza ogni volta che utilizzerai il protocollo cURL/OpenSSL negli strumenti Alteryx. Se Designer o Server dovessero rilevare tale corrispondenza, la convalida dei peer verrà disattivata.Tieni presente che i prodotti FIPS non utilizzano l'elenco Consenti.
Per evitare errori relativi alla convalida dei peer SSL quando il server esterno richiede un certificato SSL firmato da un'autorità CA intermedia, aggiungi la CA intermedia richiesta alla cartella Autorità di certificazione radice attendibili - Certificati in Microsoft Management Console.