Skip to main content

ピア検証許可リスト

Alteryxは、cURLやOpenSSLを使用するhttps://のURLへの接続など、TLSまたはSSL接続を開く際の機能にセキュリティチェックを追加しました。[ピア検証]設定でセキュリティチェックを調整することができます。

これには、サービスへの接続がTLSで保護され、接続されたサーバーが有効で信頼されたCA署名付き証明書を提供することが必要です。CAチェーンのルート証明書まですべて検証し、Microsoft Windows Certificate Storesの信頼された認証局のリストと照合して証明書を検証する必要があります。現時点ではLinuxはサポートされていません。

  • これは、2022.1以降のDesigner-FIPSと2022.2 Server-FIPSのリリースで初めて有効となった機能で、無効にすることはできません。

  • また、ピア検証はFIPS非対応2022.3以降のリリースでも有効になりました。

ピア検証の許可リストを設定する

この変更により、一部の管理者およびユーザーの環境(特に、安全でない接続や、自己署名証明書、無効な証明書、または信頼されていない証明書を使用したTLS接続を利用する既存のワークフローやサーバー環境)で問題が発生する可能性があります。

これらの問題を回避し、検証に失敗した証明書を利用する安全でない接続またはTLS接続を引き続き使用するには、許可リストに例外を追加する必要があります。

  • 許可リストには、ピア検証が有効になっている場合に通常失敗するURLサイトのエントリが格納されます。

  • PeerValidationBypass.txtという名前のテキストファイルにURLの例外を追加します。

  • ファイルは、C:\ProgramData\Alteryx\PeerValidationBypass.txtに格納する必要があります。

  • ファイルが存在しない場合、ピア検証は既定で有効になります。ただし、ファイルが存在しても、ピア検証は無効になりません。DesignerServerでは、ファイル内にリストされている特定のサイトに接続する際にピア検証を無視することができます。

PeerValidationBypass.txtの要件

PeerValidationBypass.txtファイルへのエントリではいくつかのルールに従う必要があります。

  • 1行につき完全修飾ドメイン名(FQDN)を1つエントリする。

  • ドメイン名またはIPアドレスのみを入力する。

  • URLの先頭からprotocol://を削除する。

  • URLからパス、クエリ、およびパスワードを削除する。

  • エントリの間に空白行を挿入しない。

ワイルドカードの使用

PeerValidationBypass.txtには、ワイルドカード文字を含むFQDNやIPv4アドレスを設定できます。

ドメイン名は、ドットで区切られた複数のフィールドからなる単純な構造で、右から左に読み取られます。例として、help.alteryx.comというドメイン名があります。

  • トップレベルドメイン(TLD)はcomです。

  • ラベルはTLDの後に続きます。alteryxはラベル1で、helpはラベル2です。

    • ラベルは、1文字から63文字で構成される、大文字と小文字を区別しない文字列です。

    • ラベルには、文字(A-Z)、数字(0-9)、ハイフン(-)のみを含めることができます。ただし、ハイフン(-)はラベルの先頭や末尾の文字には使用できません。

  • TLDの直前にあるラベルは、セカンドレベルドメイン(SLD)とも呼ばれます。上記の例ではalteryxがそれに該当します。

    注記

    ドメイン名は、1つのフィールドのみで構成される場合もあれば、2つ、3つ、またはそれ以上のフィールドで構成される場合もあります。完全修飾ドメイン名(FQDN)は、常に以下の形式でラベル付けされます。

    hostname.SLD.TLD

PeerValidationBypass.txtを解析して、特定のエンドポイントのTLS証明書を検証すべきかどうかを判断する際、パーサーはワイルドカードを以下のように解釈します。

  • アスタリスク(*)は、0文字以上の有効なラベル文字に一致する。

  • クエスチョンマーク(?)は、ちょうど1文字の有効なラベル文字に一致する。

ドメイン名の記述に関する詳細

ドメイン名を記述する際は、

  • TLDが国コードTLDの場合、最後の3つのフィールドにはワイルドカード文字を使用できません。ワイルドカードによるマッチングは、ラベル3以降で実行されます。

  • TLDが国コードTLDでない場合、最後の2つのフィールドにはワイルドカード文字を使用できません。ワイルドカードによるマッチングは、ラベル2以降で実行されます。

無効なドメイン名の記述例

???.*.com.fralteryx*.help.n?talteryx.*.nethello.world.example*.???

IPv4アドレスの記述に関する詳細

IPv4アドレスを記述する際は、

  • 最初の2つのフィールドにはワイルドカード文字を使用できません。

  • ワイルドカードによるマッチングは、最後の2つのフィールドで実行されます。

無効なIPv4の記述例

192.*.*.23???.*.123.234*.10.100.200

記述例

例1

ピア検証で次のURLがブロックされる場合:

https://ThisIsATest.com/?category.id=External

PeerValidationBypass.txtファイルに、以下のように記述します。

ThisIsATest.com

例2

以下のURLを同様のパターンでブロックするとします。

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

PeerValidationBypass.txtファイルでは、ワイルドカードを使用することで、これら3つすべてを1行でブロックできます。

*.ThisIsATest.com

例3

visit.country.france.frwork.country.france.frをブロックするには、PeerValidationBypass.txtファイルに以下のように記述します。

*.country.france.fr

注記

TLDは国コードです。そのため、最後の3つのフィールドcountry.france.frにはワイルドカード文字を使用できません。

例4

IPv4アドレス123.12.123.1123.12.123.2をブロックするには、PeerValidationBypass.txtファイルに次のように記述します。

123.12.123.?

その他の注記事項

  • PeerValidationBypass.txtを編集した後に、AlteryxツールでcURL/OpenSSLを使用すると、常に一致するものが検索されるようになります。DesignerまたはServerで一致が検出されると、ピア検証がオフになります。

  • FIPS製品では許可リストは無視されます。

  • 外部サーバーが中間CAによって署名されたSSL証明書を必要とする場合にSSLピア検証のエラーを回避するには、必要な中間CAをMicrosoft管理コンソールの[Trusted Root Certification Authorities] - [Certificates]フォルダーに追加します。

このセクションの内容: