REST Resource: projects.locations.serverTlsPolicies

Ressource: ServerTlsPolicy

ServerTlsPolicy ist eine Ressource, die angibt, wie ein Server eingehende Anfragen authentifizieren soll. Diese Ressource selbst hat keine Auswirkungen auf die Konfiguration, es sei denn, sie ist an eine Auswahlressource für die Ziel-HTTPS-Proxy- oder Endpunktkonfiguration angehängt.

ServerTlsPolicy im von Application Load Balancern akzeptierten Format kann nur an TargetHttpsProxy mit einem EXTERNAL-, EXTERNAL_MANAGED- oder INTERNAL_MANAGED-Load-Balancing-Schema angehängt werden. Traffic Director-kompatible ServerTlsPolicies können mit dem Traffic Director-INTERNAL_SELF_MANAGED-Load Balancing-Schema an EndpointPolicy und TargetHttpsProxy angehängt werden.

JSON-Darstellung 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
Felder
name

string

Pflichtangabe. Name der ServerTlsPolicy-Ressource. Sie stimmt mit dem Muster projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy} überein.
description

string

Freitextbeschreibung der Ressource.
createTime

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".
updateTime

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource aktualisiert wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".
labels

map (key: string, value: string)

Mit der Ressource verknüpfte Label-Tags.

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.
mtlsPolicy

object (MTLSPolicy)

Dieses Feld ist erforderlich, wenn die Richtlinie mit Application Load Balancern verwendet wird. Dieses Feld kann für Traffic Director leer sein.

Definiert einen Mechanismus zum Bereitstellen von Peer-Validierungszertifikaten für die Peer-zu-Peer-Authentifizierung (Mutual TLS – mTLS). Wenn keine Angabe erfolgt, wird kein Clientzertifikat angefordert. Die Verbindung wird als TLS und nicht als mTLS behandelt. Wenn allowOpen und mtlsPolicy festgelegt sind, lässt der Server sowohl Klartext- als auch mTLS-Verbindungen zu.

MTLSPolicy

Spezifikation der MTLSPolicy.

JSON-Darstellung 
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationTrustConfig": string
}
Felder
clientValidationMode

enum (ClientValidationMode)

Wenn der Client dem Load Balancer ein ungültiges oder kein Zertifikat vorlegt, gibt die clientValidationMode an, wie mit der Clientverbindung umgegangen wird.

Erforderlich, wenn die Richtlinie mit den Application Load Balancern verwendet werden soll. Für Traffic Director muss sie leer sein.
clientValidationTrustConfig

string

Verweis auf die TrustConfig aus dem Namespace „certificatemanager.googleapis.com“.

Wenn angegeben, wird die Kettenüberprüfung anhand der in der angegebenen TrustConfig konfigurierten Zertifikate durchgeführt.

Nur zulässig, wenn die Richtlinie mit Application Load Balancern verwendet werden soll.

ClientValidationMode

Modus für die gegenseitige TLS-Zertifikatsüberprüfung.

Enums
CLIENT_VALIDATION_MODE_UNSPECIFIED Nicht zulässig.
ALLOW_INVALID_OR_MISSING_CLIENT_CERT Verbindung zulassen, auch wenn die Zertifikatskettenvalidierung des Clientzertifikats fehlgeschlagen ist oder kein Clientzertifikat vorgelegt wurde. Der Nachweis, dass der private Schlüssel ausgestellt wurde, wird immer geprüft, wenn ein Clientzertifikat vorgelegt wurde. In diesem Modus muss das Backend die Verarbeitung von Daten implementieren, die aus einem Clientzertifikat extrahiert wurden, um den Peer zu authentifizieren oder Verbindungen abzulehnen, wenn der Clientzertifikat-Fingerabdruck fehlt.
REJECT_INVALID

Erforderlich ist ein Clientzertifikat und die Verbindung zum Backend wird nur zugelassen, wenn die Validierung des Clientzertifikats bestanden hat.

Wenn festgelegt, ist ein Verweis auf eine nicht leere TrustConfig erforderlich, die in clientValidationTrustConfig angegeben ist.

Methoden

create

 Erstellt eine neue ServerTlsPolicy in einem bestimmten Projekt und an einem bestimmten Standort.

delete

 Löscht eine einzelne ServerTlsPolicy.

get

 Ruft Details zu einer einzelnen ServerTlsPolicy ab.

list

 Listet ServerTlsPolicies in einem angegebenen Projekt und an einem angegebenen Standort auf.

patch

 Aktualisiert die Parameter einer einzelnen ServerTlsPolicy.