Lista de permisos de validación de pares
Alteryx ha agregado comprobaciones de seguridad para la funcionalidad relacionada con la apertura de conexiones TLS o SSL; por ejemplo, conexiones a
Esto requiere que la conexión a un servicio esté protegida con TLS y que el servidor conectado proporcione un certificado firmado por la CA (autoridad de certificación) que sea válido y confiable. La validación debe abarcar toda la cadena de certificados hasta el certificado raíz y validar los certificados de acuerdo con la lista de los almacenes de certificados de Microsoft Windows de entidades de certificación de confianza. En este momento, no se ofrece compatibilidad con Linux.
Esta característica se habilitó inicialmente en las versiones 2022.1+ de Alteryx Designer-FIPS y 2022.2 de Alteryx Server-FIPS, y no hay forma de desactivarla.
La Validación entre pares ahora también está habilitada para las versiones que no sean FIPS 2022.3+.
Configuración de la Lista de permisos para la Validación entre pares
Sabemos que algunos administradores y usuarios pueden tener problemas con este cambio; especialmente, con flujos de trabajo o entornos de servidor existentes que utilizan conexiones inseguras o conexiones TLS que usan certificados autofirmados, no válidos o no confiables.
Para solucionar estos problemas y seguir utilizando conexiones inseguras o conexiones TLS que utilizan certificados que no superan la validación, debes agregar una excepción a la Lista de permisos.
La Lista de permisos contiene entradas de sitios de URL que normalmente no superan la Validación entre pares habilitada.
Agrega excepciones de URL al archivo de texto llamado
PeerValidationBypass.txt.Debes guardar el archivo en
C:\ProgramData\Alteryx\PeerValidationBypass.txt.Si el archivo no existe, la Validación entre pares está activada de manera predeterminada. Sin embargo, ten en cuenta que la existencia del archivo no desactiva la Validación entre pares. Este permite que Designer y Server ignoren la Validación entre pares al conectarse a los sitios específicos que figuran en el archivo.
Requisitos de PeerValidationBypass.txt
Las entradas del archivo PeerValidationBypass.txt deben seguir varias reglas:
Una entrada de nombre de dominio totalmente calificado (FQDN) por línea.
Introduce solo el nombre de host.
Quita la parte
protocol://al comienzo de la URL.Quita cualquier ruta, consulta y contraseña de la URL.
No dejes líneas en blanco entre las entradas.
Using Wildcards
You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.
A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…
The Top-Level Domain (TLD) is
com.The labels follow the TLD.
alteryxis Label1 andhelpis Label2.A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.
It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).
The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.
Nota
A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:
hostname.SLD.TLD
When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:
An asterisk (*) character matches 0 or more valid label characters.
A question mark (?) character matches exactly 1 valid label character.
Domain Name Entry Details
For a domain name entry…
If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.
If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.
Example Invalid Domain Name Entries
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???
IPv4 Address Entry Details
For an IPv4 address entry…
Wildcard characters are not allowed in the first two fields.
Wildcard matching is performed in the last two fields.
Example Invalid IPv4 Entries
192.*.*.23, ???.*.123.234, and *.10.100.200
Entrada de ejemplo
Example 1
Suppose Peer Validation blocks this URL:
https://ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file, enter this:
ThisIsATest.com
Example 2
Suppose you want to block these URLs with a similar pattern:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:
*.ThisIsATest.com
Example 3
To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:
*.country.france.fr
Nota
TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.
Example 4
To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:
123.12.123.?
Notas adicionales
Después de editar el archivo
PeerValidationBypass.txt, cada vez que utilices cURL/OpenSSL en las herramientas de Alteryx, se buscará una coincidencia. Si Designer o Server encuentran una coincidencia, desactivan la Validación entre pares.Ten en cuenta que los productos con FIPS ignoran la Lista de permisos.
Para evitar errores con la Validación entre pares SSL cuando el servidor externo requiere un certificado SSL firmado por una CA intermedia, agrega la CA intermedia requerida a la carpeta Entidad de certificación raíz de confianza- Certificados en Microsoft Management Console.