Ressource: TlsInspectionPolicy
Die TlsInspectionPolicy-Ressource enthält Verweise auf CA-Pools in Certificate Authority Service und zugehörige Metadaten.
| JSON-Darstellung |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Felder | |
|---|---|
name |
Erforderlich. Der Name der Ressource, Der Name hat das Format „projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}“. tlsInspectionPolicy sollte dem Muster entsprechen:(^a-z?$). |
description |
Optional. Freitextbeschreibung der Ressource. |
createTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde. Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
updateTime |
Nur Ausgabe. Der Zeitstempel für den Zeitpunkt, zu dem die Ressource aktualisiert wurde. Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
caPool |
Erforderlich. Eine CA-Pool-Ressource, mit der Abfangzertifikate ausgestellt werden. Der CA-Poolstring hat einen relativen Ressourcenpfad im Format „projects/{project}/locations/{location}/caPools/{caPool}“. |
trustConfig |
Optional. Eine TrustConfig-Ressource, die beim Herstellen einer Verbindung zum TLS-Server verwendet wird. Dies ist ein relativer Ressourcenpfad im Format „projects/{project}/locations/{location}/trustConfigs/{trustConfig}“. Dies ist erforderlich, um TLS-Verbindungen zu Servern mit Zertifikaten, die von einer privaten Zertifizierungsstelle signiert wurden, oder selbst signierten Zertifikaten abzufangen. Beachten Sie, dass Secure Web Proxy dieses Feld noch nicht berücksichtigt. |
minTlsVersion |
Optional. TLS-Mindestversion, die die Firewall beim Aushandeln von Verbindungen mit Clients und Servern verwenden sollte. Wenn dies nicht festgelegt ist, wird standardmäßig die größte Gruppe von Clients und Servern zugelassen (TLS 1.0 oder höher). Wenn Sie für diesen Parameter restriktivere Werte festlegen, verbessern Sie dadurch möglicherweise die Sicherheit, verhindern aber auch, dass die Firewall eine Verbindung zu einigen Clients oder Servern herstellt. Beachten Sie, dass Secure Web Proxy dieses Feld noch nicht berücksichtigt. |
tlsFeatureProfile |
Optional. Das ausgewählte Profil. Wenn dies nicht festgelegt ist, wird standardmäßig die größte Gruppe von Clients und Servern („PROFILE_COMPATIBLE“) zugelassen. Wenn Sie restriktivere Werte festlegen, verbessern Sie dadurch möglicherweise die Sicherheit, verhindern aber auch, dass der TLS-Prüfungs-Proxy eine Verbindung zu einigen Clients oder Servern herstellt. Beachten Sie, dass Secure Web Proxy dieses Feld noch nicht berücksichtigt. |
customTlsFeatures[] |
Optional. Liste der ausgewählten benutzerdefinierten TLS-Cipher Suites. Dieses Feld ist nur gültig, wenn das ausgewählte tlsFeatureProfile den Wert BENUTZERDEFINIERT hat. Die Methode [compute.SslPoliciesService.ListAvailableFeatures][] gibt die Funktionen zurück, die in dieser Liste angegeben werden können. Beachten Sie, dass Secure Web Proxy dieses Feld noch nicht berücksichtigt. |
excludePublicCaSet |
Optional. Wenn FALSE (Standardeinstellung), verwenden Sie unsere Standardsatz öffentlicher Zertifizierungsstellen zusätzlich zu allen in trustConfig angegebenen Zertifizierungsstellen. Diese öffentlichen Zertifizierungsstellen basieren derzeit auf dem Mozilla Root Program und können sich im Laufe der Zeit ändern. Wenn TRUE, nicht unsere standardmäßigen öffentlichen Zertifizierungsstellen akzeptieren. Nur in „TrustConfig“ angegebene Zertifizierungsstellen werden akzeptiert. Die Standardeinstellung ist FALSE (verwenden Sie zusätzlich zu „TrustConfig“ auch öffentliche Zertifizierungsstellen), um die Abwärtskompatibilität zu gewährleisten. Es wird jedoch nicht empfohlen, öffentlichen Root-Zertifizierungsstellen zu vertrauen, es sei denn, der betreffende Traffic geht an öffentliche Webserver. Wenn möglich, sollten Sie diesen Wert auf „false“ setzen und vertrauenswürdige Zertifizierungsstellen und Zertifikate in einer TrustConfig explizit angeben. Beachten Sie, dass Secure Web Proxy dieses Feld noch nicht berücksichtigt. |
TlsVersion
Die Mindestversion des TLS-Protokolls, die von Clients oder Servern zum Herstellen einer Verbindung mit dem TLS-Prüfungs-Proxy verwendet werden kann.
| Enums | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Gibt an, dass keine TLS-Version angegeben wurde. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Profil
Das Profil gibt die Gruppe der TLS-Cipher Suites (und möglicherweise weitere Funktionen in Zukunft) an, die von der Firewall bei der Aushandlung von TLS-Verbindungen mit Clients und Servern verwendet werden können. Die Bedeutung dieser Felder ist mit der Bedeutung der Ressource „SSLPolicy“ des Load-Balancers identisch.
| Enums | |
|---|---|
PROFILE_UNSPECIFIED |
Gibt an, dass kein Profil angegeben wurde. |
PROFILE_COMPATIBLE |
Kompatibles Profil. Ermöglicht der umfassendsten Gruppe von Clients, selbst solche, die nur veraltete SSL-Funktionen unterstützen, können mit dem TLS-Prüfungs-Proxy verhandeln. |
PROFILE_MODERN |
Modernes Profil. Unterstützt eine breite Palette von SSL-Features, sodass moderne Clients SSL mit dem TLS-Prüfungs-Proxy aushandeln können. |
PROFILE_RESTRICTED |
Eingeschränktes Profil. Unterstützt eine reduzierte Anzahl von SSL-Funktionen, die strengere Compliance-Anforderungen erfüllen sollen. |
PROFILE_CUSTOM |
Benutzerdefiniertes Profil. Nur die im Feld „custom_features“ von „SslPolicy“ angegebenen zulässigen SSL-Funktionen zulassen. |
Methoden |
|
|---|---|
|
Erstellt eine neue TlsInspectionPolicy in einem bestimmten Projekt und an einem bestimmten Standort. |
|
Löscht eine einzelne TlsInspectionPolicy. |
|
Ruft Details zu einer einzelnen TlsInspectionPolicy ab. |
|
Listet TlsInspectionPolicies in einem bestimmten Projekt und an einem bestimmten Standort auf. |
|
Aktualisiert die Parameter einer einzelnen TlsInspectionPolicy. |