Skip to main content

Elenco "Consenti" per la convalida dei peer

Alteryx ha aggiunto controlli di sicurezza per le funzionalità correlate all'apertura delle connessioni TLS o SSL, ad esempio le connessioni agli URL https:// che utilizzano i protocolli cURL e OpenSSL. Puoi modificare i controlli di sicurezza utilizzando l'impostazione Convalida peer.

A tale scopo, è necessario che la connessione a un servizio sia protetta tramite TLS e che il server connesso fornisca un certificato valido firmato da un'autorità di certificazione (CA) attendibile. La convalida deve essere estesa lungo la catena di certificazione (CA) fino al certificato radice, e i certificati devono essere convalidati a fronte della lista di autorità di certificazione attendibili dell'archivio certificati di Microsoft Windows. Al momento non è disponibile alcun supporto per Linux.

  • Questa funzionalità, che è stata inizialmente abilitata nelle release 2022.1 e successive di Designer-FIPS e nella release 2022.2 di Server-FIPS, non può essere disattivata.

  • La convalida dei peer è ora abilitata anche per le versioni non FIPS 2022.3+.

Imposta l'elenco Consenti per la convalida dei peer

Sappiamo che alcuni amministratori e utenti potrebbero riscontrare problemi con questa modifica, soprattutto per i flussi di lavoro preesistenti oppure negli ambienti server che utilizzano connessioni non sicure o connessioni TLS che impiegano certificati autofirmati, non validi o non attendibili.

Per risolvere questi problemi, e continuare a utilizzare connessioni non sicure o connessioni TLS che impiegano certificati senza convalida, devi aggiungere un'eccezione all'elenco Consenti.

  • L'elenco Consenti include gli URL che normalmente non sono accessibili quando l'impostazione Convalida peer è attiva.

  • Aggiungi eccezioni URL al file di testo denominato PeerValidationBypass.txt.

  • Il file deve essere salvato in C:\ProgramData\Alteryx\PeerValidationBypass.txt.

  • Qualora il file non esistesse, la Convalida peer sarà attivata per impostazione predefinita. È importante notare, tuttavia, che l'esistenza del file non disattiva automaticamente la convalida dei peer. Consente a Designer e Server di ignorare tale convalida durante la connessione ai siti specifici elencati nel file.

Requisiti del file PeerValidationBypass.txt

Le voci riportate nel file PeerValidationBypass.txt devono seguire svariate regole:

  • Una voce FQDN (Fully Qualified Domain Name) per riga.

  • Inserisci solo il nome di dominio o l'indirizzo IP.

  • Rimozione del protocollo:// dall'inizio dell'URL.

  • Rimozione di qualsiasi percorso, query e password dall'URL.

  • Nessuna riga vuota tra le voci.

Utilizzo dei caratteri jolly

Nel file PeerValidationBypass.txt è possibile configurare FQDN e indirizzi IPv4 contenenti caratteri jolly.

Un nome di dominio è una struttura semplice, formata da diversi campi separati da punti, che vengono letti da destra verso sinistra. Ad esempio, nel nome di dominio help.alteryx.com

  • Il dominio di primo livello (TLD) è com.

  • Il dominio di primo livello (TLD) è seguito dalle etichette. In questo caso, Alteryx è l'Etichetta 1 ed help l'aiuto è l'Etichetta 2.

    • Un'etichetta è una sequenza che può contenere da uno a sessantadue caratteri, senza distinzione fra maiuscole e minuscole.

    • Può contenere solo le lettere dalla a alla Z, le cifre da 0 a 9 e il trattino (-), che tuttavia non può essere il primo o l'ultimo carattere dell'etichetta.

  • L'etichetta che precede immediatamente il dominio di primo livello (TLD), Alteryx nell'esempio precedente, viene chiamata anche dominio di secondo livello (SLD).

    Nota

    Un nome di dominio può essere costituito da un solo campo oppure da due, tre o più campi. Un nome di dominio completo (FQDN) contiene sempre le etichette previste dall'espressione di formato seguente:

    Nomehost.SLD.TLD

Quando analizza il file PeerValidationBypass.txt per determinare se è necessario convalidare il certificato TLS di un determinato endpoint, il parser interpreta i caratteri jolly come segue:

  • Il carattere asterisco (*) corrisponde a 0 o più caratteri di etichetta validi.

  • Il punto interrogativo (?) corrisponde esattamente a 1 carattere di etichetta valido.

Informazioni necessarie per l'inserimento del nome di dominio

Per inserire un nome di dominio…

  • Se il TLD contiene il codice del Paese, i caratteri jolly non sono consentiti negli ultimi tre campi. La corrispondenza con caratteri jolly viene eseguita dopo l'Etichetta 3.

  • Se il TLD non contiene il codice del Paese, i caratteri jolly non sono consentiti negli ultimi due campi. La corrispondenza con caratteri jolly viene eseguita dopo l'Etichetta 2.

Esempi di nomi di dominio non validi

???.*.com.fr, alteryx*.help.n?t, alteryx.*.net e hello.world.example*.???

Informazioni necessarie per l'inserimento di un indirizzo IPv4

Per inserire un indirizzo IPv4…

  • I caratteri jolly non sono consentiti nei primi due campi.

  • La corrispondenza con caratteri jolly viene eseguita negli ultimi due campi.

Esempi di indirizzi IPv4 non validi

192.*.*.23, ???.*.123.234 e *.10.100.200

Voci di esempio

Esempio 1

Supponiamo che la convalida dei peer blocchi il seguente URL:

https://ThisIsATest.com/?category.id=External

Nel file PeerValidationBypass.txt, inserisci quanto segue:

ThisIsATest.com

Esempio 2

Supponi di voler bloccare questi URL, che presentano uno schema simile:

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

Nel file PeerValidationBypass.txt è possibile bloccarli tutti e 3 specificando una sola voce contenente un carattere jolly:

*.ThisIsATest.com

Esempio 3

Per bloccare visit.country.france.fr e work.country.france.fr, inserisci questo valore nel file PeerVAlidationBypass.txt:

*.country.france.fr

Nota

TLD è un codice Paese. Di conseguenza, i caratteri jolly non sono consentiti negli ultimi 3 campi, ovvero country.france.fr.

Esempio 4

Per bloccare gli indirizzi iPv4 123.12.123.1 e 123.12.123.2, inserisci questo valore nel file PeerValidationBypass.txt:

123.12.123.?

Note aggiuntive

  • Dopo aver modificato il file PeerValidationBypass.txt, verrà ricercata una corrispondenza ogni volta che utilizzerai il protocollo cURL/OpenSSL negli strumenti Alteryx. Se Designer o Server trovano una corrispondenza, la convalida dei peer viene disattivata.

  • Tieni presente che i prodotti FIPS non utilizzano l'elenco Consenti.

  • Per evitare errori durante la convalida dei peer SSL quando il server esterno richiede un certificato SSL firmato da un'autorità CA intermedia, aggiungi tale CA intermedia alla cartella Autorità di certificazione radice attendibili - Certificati in Microsoft Management Console.

In questa sezione: