Recurso: ServerTlsPolicy
ServerTlsPolicy é um recurso que especifica como um servidor deve autenticar as solicitações recebidas. Esse recurso em si não afeta a configuração, a menos que esteja anexado a um proxy HTTPS de destino ou recurso de seletor de configuração de endpoint.
O ServerTlsPolicy no formulário aceito pelos balanceadores de carga de aplicativo só pode ser anexado ao TargetHttpsProxy com um esquema de balanceamento de carga EXTERNAL, EXTERNAL_MANAGED ou INTERNAL_MANAGED. As ServerTlsPolicies compatíveis com o Traffic Director podem ser anexadas a EndpointPolicy e TargetHttpsProxy com o esquema de balanceamento de carga INTERNAL_SELF_MANAGED do Traffic Director.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso ServerTlsPolicy. Ele corresponde ao padrão |
description |
Descrição em texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
labels |
Conjunto de tags de rótulo associadas ao recurso. Um objeto com uma lista de pares |
allowOpen |
Este campo se aplica apenas às políticas do Traffic Director. Ele precisa ser definido como "false" para políticas do Application Load Balancer. Determina se o servidor permite conexões de texto simples Se definido como "true", o servidor permite conexões de texto simples. Por padrão, ela é definida como falsa. Essa configuração não é exclusiva de outros modos de criptografia. Por exemplo, se Use essa opção se quiser fazer upgrade da sua implantação para TLS e manter o tráfego misto de TLS e não TLS na porta 80. |
serverCertificate |
Opcional se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativos, precisa estar vazio. Define um mecanismo para provisionar a identidade do servidor (chaves públicas e privadas). Não é possível combinar com |
mtlsPolicy |
Este campo é obrigatório se a política for usada com balanceadores de carga de aplicativo. Esse campo pode ficar vazio no Traffic Director. Define um mecanismo para provisionar certificados de validação de pares para autenticação de pares (TLS mútuo - mTLS). Se não for especificado, o certificado do cliente não será solicitado. A conexão é tratada como TLS, e não mTLS. Se |
MTLSPolicy
Especificação da MTLSPolicy.
| Representação JSON |
|---|
{ "clientValidationMode": enum ( |
| Campos | |
|---|---|
clientValidationMode |
Quando o cliente apresenta um certificado inválido ou nenhum certificado para o balanceador de carga, o Obrigatório se a política for usada com os balanceadores de carga de aplicativo. Para o Traffic Director, ele precisa estar vazio. |
clientValidationCa[] |
Obrigatório se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativo, ele precisa estar vazio. Define o mecanismo para conseguir o certificado da autoridade certificadora para validar o certificado do cliente. |
clientValidationTrustConfig |
Referência ao TrustConfig do namespace certificatemanager.googleapis.com. Se especificado, a validação da cadeia será realizada em certificados configurados no TrustConfig. Só é permitido se a política for usada com balanceadores de carga de aplicativo. |
ClientValidationMode
Modo de validação de certificado TLS mútuo.
| Enums | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Não permitido. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Permite a conexão mesmo que a validação da cadeia de certificados do certificado do cliente tenha falhado ou nenhum certificado do cliente tenha sido apresentado. O comprovante de posse da chave privada é sempre verificado se o certificado do cliente foi apresentado. Esse modo exige que o back-end implemente o processamento de dados extraídos de um certificado do cliente para autenticar o peer ou rejeitar conexões se a impressão digital do certificado do cliente estiver ausente. |
REJECT_INVALID |
Exigir um certificado de cliente e permitir a conexão com o back-end somente se a validação do certificado de cliente for bem-sucedida. Se definido, exige uma referência a um TrustConfig não vazio especificado em |
Métodos |
|
|---|---|
|
Cria uma nova ServerTlsPolicy em um determinado projeto e local. |
|
Exclui uma única ServerTlsPolicy. |
|
Recebe detalhes de uma única ServerTlsPolicy. |
|
Busca a política de controle de acesso de um recurso. |
|
Lista as políticas de ServerTls em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única ServerTlsPolicy. |
|
Define a política de controle de acesso no recurso especificado. |
|
Retorna permissões do autor da chamada no recurso especificado. |