Recurso: ServerTlsPolicy
ServerTlsPolicy es un recurso que especifica cómo un servidor debe autenticar solicitudes entrantes. Este recurso no afecta la configuración, a menos que esté conectado a un proxy HTTPS de destino o a un recurso selector de configuración de extremo.
ServerTlsPolicy en el formato que aceptan los balanceadores de cargas de aplicaciones solo se puede adjuntar a TargetHttpsProxy con un esquema de balanceo de cargas EXTERNAL, EXTERNAL_MANAGED o INTERNAL_MANAGED. Las ServerTlsPolicies compatibles con Traffic Director se pueden adjuntar a EndpointPolicy y TargetHttpsProxy con el esquema de balanceo de cargas INTERNAL_SELF_MANAGED de Traffic Director.
| Representación JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campos | |
|---|---|
name |
Obligatorio. Es el nombre del recurso ServerTlsPolicy. Coincide con el patrón |
description |
Es una descripción de texto libre del recurso. |
createTime |
Solo salida. Marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
updateTime |
Solo salida. La marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
labels |
Es un conjunto de etiquetas asociadas con el recurso. Un objeto que contiene una lista de pares |
allowOpen |
Este campo solo se aplica a las políticas de Traffic Director. Debe establecerse como "false" para las políticas de balanceador de cargas de aplicaciones. Determina si el servidor permite conexiones de texto simple. Si se establece como verdadero, el servidor permite conexiones de texto sin formato. De forma predeterminada, se establece como falso. Este parámetro de configuración no es exclusivo de otros modos de encriptación. Por ejemplo, si se configuran Considera usarlo si deseas actualizar in situ tu implementación a TLS mientras tienes tráfico mixto de TLS y no TLS que llega al puerto 80. |
serverCertificate |
Es opcional si la política se usará con Traffic Director. Para los balanceadores de cargas de aplicaciones, debe estar vacío. Define un mecanismo para aprovisionar la identidad del servidor (claves públicas y privadas). No se puede combinar con |
mtlsPolicy |
Este campo es obligatorio si la política se usa con balanceadores de cargas de aplicaciones. Este campo puede estar vacío para Traffic Director. Define un mecanismo para aprovisionar certificados de validación de pares para la autenticación de pares (TLS mutua - mTLS). Si no se especifica, no se solicitará el certificado de cliente. La conexión se considera TLS y no mTLS. Si se configuran |
MTLSPolicy
Especificación de MTLSPolicy.
| Representación JSON |
|---|
{ "clientValidationMode": enum ( |
| Campos | |
|---|---|
clientValidationMode |
Cuando el cliente presenta un certificado no válido o ningún certificado al balanceador de cargas, Obligatorio si la política se usará con los balanceadores de cargas de aplicaciones. Para Traffic Director, debe estar vacío. |
clientValidationCa[] |
Obligatorio si se usará la política con Traffic Director. Para los balanceadores de cargas de aplicaciones, debe estar vacío. Define el mecanismo para obtener el certificado de la autoridad certificadora para validar el certificado del cliente. |
clientValidationTrustConfig |
Es la referencia a TrustConfig del espacio de nombres certificatemanager.googleapis.com. Si se especifica, la validación de la cadena se realizará en los certificados configurados en la TrustConfig determinada. Solo se permite si la política se usará con balanceadores de cargas de aplicaciones. |
ClientValidationMode
Es el modo de validación de certificados de TLS mutua.
| Enums | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
No se permite. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Permite la conexión incluso si la validación de la cadena de certificados del certificado de cliente falló o no se presentó ningún certificado de cliente. La prueba de posesión de la clave privada siempre se verifica si se presentó el certificado de cliente. Este modo requiere que el backend implemente el procesamiento de datos extraídos de un certificado de cliente para autenticar el par o rechazar las conexiones si falta la huella digital del certificado de cliente. |
REJECT_INVALID |
Exige un certificado de cliente y permite la conexión al backend solo si se aprobó la validación del certificado de cliente. Si se establece, requiere una referencia a un TrustConfig no vacío especificado en |
Métodos |
|
|---|---|
|
Crea una nueva ServerTlsPolicy en un proyecto y una ubicación determinados. |
|
Borra una sola ServerTlsPolicy. |
|
Obtiene los detalles de una sola ServerTlsPolicy. |
|
Permite obtener la política de control de acceso de un recurso. |
|
Enumera ServerTlsPolicies en una ubicación y un proyecto determinados. |
|
Actualiza los parámetros de un solo ServerTlsPolicy. |
|
Permite configurar la política de control de acceso en el recurso especificado. |
|
Permite mostrar los permisos que tiene un emisor para un recurso especificado. |