Skip to main content

对等验证允许列表

Alteryx 已为与建立 TLS 或 SSL 连接相关的功能增加了安全检查,例如使用 cURL 和 OpenSSL 建立的 https:// URL 连接。您可以使用“对等验证”设置来调整安全检查。

这要求与服务的连接使用 TLS 进行保护,并且所连接的服务器提供有效且受信任的 CA 签名证书。验证必须沿着 CA 链一直到根证书,并根据 Microsoft Windows 证书存储的受信任证书颁发机构列表来验证证书。目前不支持 Linux。

  • 此功能最初在 2022.1+ Designer-FIPS 和 2022.2 Server-FIPS 版本中启用,且无法关闭。

  • 现在,非 FIPS 2022.3+ 版本也启用了对等验证。

设置对等验证的允许列表

我们知道,某些管理员和用户可能会在此更改中遇到问题,尤其是在现有工作流或服务器环境使用不安全连接,或 TLS 连接使用自签名、无效或不受信任的证书时。

要解决这些问题,并继续使用不安全的连接或应用未通过验证的证书的 TLS 连接,您必须向允许列表添加例外情况。

  • 允许列表包含在启用对等验证的情况下通常会失败的 URL 站点条目。

  • 将 URL 例外添加到名为 PeerValidationBypass.txt 的文本文件。

  • 您必须将文件放置在 C:\ProgramData\Alteryx\PeerValidationBypass.txt 中。

  • 如果文件不存在,则默认开启对等验证。但是,请注意,文件存在也不会关闭对等验证。这会使 DesignerServer 在连接到文件中列出的特定站点时忽略对等验证。

PeerValidationBypass.txt 要求

PeerValidationBypass.txt 文件中的条目必须遵循以下几条规则:

  • 每行一个完全限定域名 (FQDN) 条目。

  • 仅输入域名或 IP 地址。

  • 移除 URL 开头的 protocol://

  • 从 URL 中移除任何路径、查询和密码。

  • 请勿在条目之间留下空白行。

使用通配符

您可以使用包含通配符的 FQDN 和 IPv4 地址配置 PeerValidationBypass.txt。

域名是由多个字段组成的简单结构,以点分隔,并从右向左读取。示例域名是 help.alteryx.com,其中…

  • 顶级域 (TLD) 为 com

  • 标签遵循 TLD。alteryx 是 Label1, help 是 Label2。

    • 标签是不区分大小写的字符序列,长度从 1 到 63 个字符不等。

    • 其只能包含字母 A 到 Z、数字 0 到 9 和连字符 (-),且连字符不能位于标签的首位或末位。

  • TLD 前面的标签在上面的示例中也称为二级域 (SLD) Alteryx。

    注意

    域名可以仅由一个字段组成,也可以由两个、三个或三个以上字段组成。完全限定域名 (FQDN) 始终按以下格式标记:

    hostname.SLD.TLD

在解析 PeerValidationBypass.txt 以确定是否应验证某个端点的 TLS 证书时,解析器会按以下方式解释通配符:

  • 星号 (*) 字符匹配 0 个或 0 个以上有效标签字符。

  • 问号 (?) 字符正好匹配 1 个有效标签字符。

域名条目详细信息

对于域名条目…

  • 如果 TLD 是国家/地区代码 TLD,则最后三个字段中不允许使用通配符。通配符匹配从标签 3 及其之后的标签开始执行。

  • 如果 TLD 不是国家/地区代码 TLD,则最后两个字段中不允许使用通配符。通配符匹配从标签 2 及其之后的标签开始执行。

域名无效条目示例

???.*.com.fralteryx*.help.n?talteryx.*.nethello.world.example*.???

IPv4 地址条目详细信息

对于 IPv4 地址条目…

  • 前两个字段不允许使用通配符。

  • 通配符匹配在最后两个字段中生效。

IPv4 无效条目示例

192.*.*.23???.*.123.234*.10.100.200

条目示例

示例 1

假设对等验证阻止此 URL:

https://ThisIsATest.com/?category.id=External

在 PeerValidationBypass.txt 文件中,输入以下内容:

ThisIsATest.com

示例 2

假设您想要屏蔽以下具有相似模式的 URL:

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

您可以在 PeerValidationBypass.txt 文件中使用一条包含通配符的记录屏蔽这三个 URL:

*.ThisIsATest.com

示例 3

要屏蔽 visit.country.france.frwork.country.france.fr,请在 PeerVAlidationBypass.txt 文件中输入以下内容:

*.country.france.fr

注意

TLD 是国家/地区代码。因此,在最后三个字段 (country.france.fr) 中不允许使用通配符。

示例 4

要屏蔽 IPv4 地址 123.12.123.1123.12.123.2,请在 PeerValidationBypass.txt 文件中输入以下内容:

123.12.123.?

补充说明

  • 编辑 PeerValidationBypass.txt 后,每当您在 Alteryx 工具中使用 cURL/OpenSSL 时,都会搜索匹配项。如果 DesignerServer 找到匹配项,则会关闭对等验证。

  • 请注意,FIPS 产品会忽略允许列表。

  • 为了避免在外部服务器需要由中间 CA 签署的 SSL 证书时出现 SSL 对等验证错误,请将所需的中间 CA 添加到 Microsoft 管理控制台中的受信任的根证书颁发机构 - 证书文件夹中。

本节内容如下: