ピア検証許可リスト
Alteryxは、cURLやOpenSSLを使用する
これには、サービスへの接続がTLSで保護され、接続されたサーバーが有効で信頼されたCA署名付き証明書を提供することが必要です。CAチェーンのルート証明書まですべて検証し、Microsoft Windows Certificate Storesの信頼された認証局のリストと照合して証明書を検証する必要があります。現時点ではLinuxはサポートされていません。
これは、2022.1以降のDesigner-FIPSと2022.2 Server-FIPSのリリースで初めて有効となった機能で、無効にすることはできません。
また、ピア検証はFIPS非対応2022.3以降のリリースでも有効になりました。
ピア検証の許可リストを設定する
この変更により、一部の管理者およびユーザーの環境でエラーが発生する可能性があります。特に、安全でない接続を利用する既存のワークフローまたはサーバー環境、または自己署名証明書、無効な証明書、または信頼されていない証明書を使用するTLS接続で発生することがあります。
これらの問題を回避し、検証に失敗した証明書を利用する安全でない接続またはTLS接続を引き続き使用するには、許可リストに例外を追加する必要があります。
許可リストには、ピア検証が有効になっている場合に通常失敗するURLサイトのエントリが格納されます。
PeerValidationBypass.txtという名前のテキストファイルにURLの例外を追加します。ファイルは、
C:\ProgramData\Alteryx\PeerValidationBypass.txtに格納する必要があります。ファイルが存在しない場合、ピア検証は既定で有効になります。ただし、ファイルが存在しても、ピア検証は無効になりません。DesignerとServerでは、ファイル内にリストされている特定のサイトに接続する際にピア検証を無視することができます。
PeerValidationBypass.txtの要件
PeerValidationBypass.txtファイルへのエントリではいくつかのルールに従う必要があります。
1行につき完全修飾ドメイン名(FQDN)を1つエントリする。
ホスト名のみを入力する。
URLの先頭から
protocol://を削除する。URLからパス、クエリ、およびパスワードを削除する。
エントリの間に空白行を挿入しない。
Using Wildcards
You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.
A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…
The Top-Level Domain (TLD) is
com.The labels follow the TLD.
alteryxis Label1 andhelpis Label2.A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.
It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).
The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.
注記
A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:
hostname.SLD.TLD
When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:
An asterisk (*) character matches 0 or more valid label characters.
A question mark (?) character matches exactly 1 valid label character.
Domain Name Entry Details
For a domain name entry…
If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.
If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.
Example Invalid Domain Name Entries
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???
IPv4 Address Entry Details
For an IPv4 address entry…
Wildcard characters are not allowed in the first two fields.
Wildcard matching is performed in the last two fields.
Example Invalid IPv4 Entries
192.*.*.23, ???.*.123.234, and *.10.100.200
エントリの例
Example 1
Suppose Peer Validation blocks this URL:
https://ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file, enter this:
ThisIsATest.com
Example 2
Suppose you want to block these URLs with a similar pattern:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:
*.ThisIsATest.com
Example 3
To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:
*.country.france.fr
注記
TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.
Example 4
To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:
123.12.123.?
その他の注記事項
PeerValidationBypass.txtを編集した後に、AlteryxツールでcURL/OpenSSLを使用すると、常に一致するものが検索されるようになります。DesignerまたはServerで一致が検出されると、ピア検証がオフになります。FIPS製品では許可リストは無視されます。
外部サーバーが中間CAによって署名されたSSL証明書を必要とする場合にSSLピア検証でエラーが発生しないようにするには、必要な中間CAをMicrosoft管理コンソールの[Trusted Root Certification Authorities] - [Certificates]フォルダーに追加します。