REST Resource: projects.locations.tlsInspectionPolicies

Ressource: TlsInspectionPolicy

Die Ressource „TlsInspectionPolicy“ enthält Verweise auf CA-Pools in Certificate Authority Service und zugehörige Metadaten.

JSON-Darstellung
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
Felder
name

string

Erforderlich. Der Name der Ressource, Der Name hat das Format projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. „tlsInspectionPolicy“ muss dem Muster ^a-z?$ entsprechen.

description

string

Optional. Freitextbeschreibung der Ressource.

createTime

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".

updateTime

string (Timestamp format)

Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource aktualisiert wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".

caPool

string

Erforderlich. Eine CA-Pool-Ressource, die zum Ausstellen von Abfangzertifikaten verwendet wird. Der CA-Pool-String hat einen relativen Ressourcenpfad im Format „projects/{project}/locations/{location}/caPools/{caPool}“.

trustConfig

string

Optional. Eine TrustConfig-Ressource, die beim Herstellen einer Verbindung zum TLS-Server verwendet wird. Dies ist ein relativer Ressourcenpfad im Format „projects/{project}/locations/{location}/trustConfigs/{trustConfig}“. Dies ist erforderlich, um TLS-Verbindungen zu Servern mit Zertifikaten abzufangen, die von einer privaten Zertifizierungsstelle oder selbst signiert sind. Hinweis: Dieses Feld wird vom Secure Web Proxy noch nicht berücksichtigt.

minTlsVersion

enum (TlsVersion)

Optional. Mindest-TLS-Version, die die Firewall beim Aushandeln von Verbindungen sowohl mit Clients als auch mit Servern verwenden sollte. Wenn dieser Wert nicht festgelegt ist, wird standardmäßig die größte Anzahl von Clients und Servern zugelassen (TLS 1.0 oder höher). Wenn Sie hier strengere Werte festlegen, kann dies die Sicherheit erhöhen, aber auch verhindern, dass die Firewall eine Verbindung zu einigen Clients oder Servern herstellt. Beachten Sie, dass dieses Feld vom Secure Web Proxy noch nicht berücksichtigt wird.

tlsFeatureProfile

enum (Profile)

Optional. Das ausgewählte Profil. Wenn dieser Wert nicht festgelegt ist, wird standardmäßig die größte Anzahl von Clients und Servern zugelassen („PROFILE_COMPATIBLE“). Wenn Sie hier strengere Werte festlegen, kann dies die Sicherheit erhöhen, aber auch verhindern, dass der TLS-Prüfungs-Proxy eine Verbindung zu einigen Clients oder Servern herstellt. Hinweis: Dieses Feld wird vom Secure Web Proxy noch nicht berücksichtigt.

customTlsFeatures[]

string

Optional. Liste der ausgewählten benutzerdefinierten TLS-Chiffren-Suites. Dieses Feld ist nur gültig, wenn das ausgewählte tlsFeatureProfile „CUSTOM“ ist. Die Methode [compute.SslPoliciesService.ListAvailableFeatures][] gibt die Funktionen zurück, die in dieser Liste angegeben werden können. Beachten Sie, dass dieses Feld vom Secure Web Proxy noch nicht berücksichtigt wird.

excludePublicCaSet

boolean

Optional. Wenn FALSE (Standard) festgelegt ist, werden zusätzlich zu den in trustConfig angegebenen Zertifizierungsstellen die standardmäßigen öffentlichen Zertifizierungsstellen verwendet. Diese öffentlichen Zertifizierungsstellen basieren derzeit auf dem Mozilla-Root-Programm und können sich im Laufe der Zeit ändern. Wenn „TRUE“ festgelegt ist, werden unsere Standard-öffentlichen Zertifizierungsstellen nicht akzeptiert. Es werden nur in trustConfig angegebene Zertifizierungsstellen akzeptiert. Standardmäßig ist dies FALSE (öffentliche Zertifizierungsstellen zusätzlich zu „trustConfig“ verwenden) für die Abwärtskompatibilität. Es wird jedoch nicht empfohlen, öffentlichen Stamm-Zertifizierungsstellen zu vertrauen, es sei denn, der betreffende Traffic ist ausgehend an öffentliche Webserver. Legen Sie diese Einstellung nach Möglichkeit auf „false“ fest und geben Sie vertrauenswürdige Zertifizierungsstellen und Zertifikate in einer TrustConfig explizit an. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird.

TlsVersion

Die Mindestversion des TLS-Protokolls, die von Clients oder Servern zum Herstellen einer Verbindung mit dem TLS-Prüf-Proxy verwendet werden kann.

Enums
TLS_VERSION_UNSPECIFIED Gibt an, dass keine TLS-Version angegeben wurde.
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

Profil

Das Profil gibt die TLS-Chiffrensammlungen (und möglicherweise auch andere Funktionen in Zukunft) an, die von der Firewall beim Aushandeln von TLS-Verbindungen mit Clients und Servern verwendet werden können. Die Bedeutung dieser Felder entspricht der der SSLPolicy-Ressource der Load Balancer.

Enums
PROFILE_UNSPECIFIED Gibt an, dass kein Profil angegeben wurde.
PROFILE_COMPATIBLE Kompatibles Profil. Ermöglicht der umfassendsten Gruppe von Clients, einschließlich Clients, die nur veraltete SSL-Features unterstützen, die TLS-Prüfung mit dem Proxy auszuhandeln.
PROFILE_MODERN Modernes Profil Unterstützt eine breite Palette von SSL-Features, mit denen moderne Clients SSL mit dem TLS-Prüf-Proxy aushandeln können.
PROFILE_RESTRICTED Eingeschränktes Profil. Unterstützt eine reduzierte Anzahl von SSL-Features, die strengere Compliance-Anforderungen erfüllen sollen.
PROFILE_CUSTOM Benutzerdefiniertes Profil Es werden nur die im Feld „custom_features“ von „SslPolicy“ angegebenen SSL-Funktionen zugelassen.

Methoden

create

Erstellt eine neue TlsInspectionPolicy in einem bestimmten Projekt und an einem bestimmten Ort.

delete

Löscht eine einzelne TlsInspectionPolicy.

get

Ruft Details zu einer einzelnen TlsInspectionPolicy ab.

list

Listet TlsInspectionPolicies in einem angegebenen Projekt und an einem angegebenen Standort auf.

patch

Aktualisiert die Parameter einer einzelnen TlsInspectionPolicy.