Ressource: TlsInspectionPolicy
Die Ressource „TlsInspectionPolicy“ enthält Verweise auf CA-Pools in Certificate Authority Service und zugehörige Metadaten.
| JSON-Darstellung |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Felder | |
|---|---|
name |
Erforderlich. Der Name der Ressource, Der Name hat das Format projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. „tlsInspectionPolicy“ muss dem Muster ^a-z?$ entsprechen. |
description |
Optional. Freitextbeschreibung der Ressource. |
createTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde. Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
updateTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource aktualisiert wurde. Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
caPool |
Erforderlich. Eine CA-Pool-Ressource, die zum Ausstellen von Abfangzertifikaten verwendet wird. Der CA-Pool-String hat einen relativen Ressourcenpfad im Format „projects/{project}/locations/{location}/caPools/{caPool}“. |
trustConfig |
Optional. Eine TrustConfig-Ressource, die beim Herstellen einer Verbindung zum TLS-Server verwendet wird. Dies ist ein relativer Ressourcenpfad im Format „projects/{project}/locations/{location}/trustConfigs/{trustConfig}“. Dies ist erforderlich, um TLS-Verbindungen zu Servern mit Zertifikaten abzufangen, die von einer privaten Zertifizierungsstelle oder selbst signiert sind. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
minTlsVersion |
Optional. Mindest-TLS-Version, die die Firewall beim Aushandeln von Verbindungen sowohl mit Clients als auch mit Servern verwenden sollte. Wenn dieser Wert nicht festgelegt ist, wird standardmäßig die größte Anzahl von Clients und Servern zugelassen (TLS 1.0 oder höher). Wenn Sie hier strengere Werte festlegen, kann dies die Sicherheit erhöhen, aber auch verhindern, dass die Firewall eine Verbindung zu einigen Clients oder Servern herstellt. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
tlsFeatureProfile |
Optional. Das ausgewählte Profil. Wenn dieser Wert nicht festgelegt ist, wird standardmäßig die größte Anzahl von Clients und Servern zugelassen („PROFILE_COMPATIBLE“). Wenn Sie hier strengere Werte festlegen, kann dies die Sicherheit erhöhen, aber auch verhindern, dass der TLS-Prüfungs-Proxy eine Verbindung zu einigen Clients oder Servern herstellt. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
customTlsFeatures[] |
Optional. Liste der ausgewählten benutzerdefinierten TLS-Chiffren-Suites. Dieses Feld ist nur gültig, wenn das ausgewählte tlsFeatureProfile „CUSTOM“ ist. Die Methode [compute.SslPoliciesService.ListAvailableFeatures][] gibt die Funktionen zurück, die in dieser Liste angegeben werden können. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
excludePublicCaSet |
Optional. Wenn FALSE (Standard) festgelegt ist, werden zusätzlich zu den in trustConfig angegebenen Zertifizierungsstellen die standardmäßigen öffentlichen Zertifizierungsstellen verwendet. Diese öffentlichen Zertifizierungsstellen basieren derzeit auf dem Mozilla-Root-Programm und können sich im Laufe der Zeit ändern. Wenn „TRUE“ festgelegt ist, werden unsere Standard-öffentlichen Zertifizierungsstellen nicht akzeptiert. Es werden nur in trustConfig angegebene Zertifizierungsstellen akzeptiert. Standardmäßig ist dies FALSE (öffentliche Zertifizierungsstellen zusätzlich zu „trustConfig“ verwenden) für die Abwärtskompatibilität. Es wird jedoch nicht empfohlen, öffentlichen Stamm-Zertifizierungsstellen zu vertrauen, es sei denn, der betreffende Traffic ist ausgehend an öffentliche Webserver. Legen Sie diese Einstellung nach Möglichkeit auf „false“ fest und geben Sie vertrauenswürdige Zertifizierungsstellen und Zertifikate in einer TrustConfig explizit an. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
TlsVersion
Die Mindestversion des TLS-Protokolls, die von Clients oder Servern zum Herstellen einer Verbindung mit dem TLS-Prüf-Proxy verwendet werden kann.
| Enums | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Gibt an, dass keine TLS-Version angegeben wurde. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Profil
Das Profil gibt die TLS-Chiffrensammlungen (und möglicherweise auch andere Funktionen in Zukunft) an, die von der Firewall beim Aushandeln von TLS-Verbindungen mit Clients und Servern verwendet werden können. Die Bedeutung dieser Felder entspricht der der SSLPolicy-Ressource der Load Balancer.
| Enums | |
|---|---|
PROFILE_UNSPECIFIED |
Gibt an, dass kein Profil angegeben wurde. |
PROFILE_COMPATIBLE |
Kompatibles Profil. Ermöglicht der umfassendsten Gruppe von Clients, einschließlich Clients, die nur veraltete SSL-Features unterstützen, die TLS-Prüfung mit dem Proxy auszuhandeln. |
PROFILE_MODERN |
Modernes Profil Unterstützt eine breite Palette von SSL-Features, mit denen moderne Clients SSL mit dem TLS-Prüf-Proxy aushandeln können. |
PROFILE_RESTRICTED |
Eingeschränktes Profil. Unterstützt eine reduzierte Anzahl von SSL-Features, die strengere Compliance-Anforderungen erfüllen sollen. |
PROFILE_CUSTOM |
Benutzerdefiniertes Profil Es werden nur die im Feld „custom_features“ von „SslPolicy“ angegebenen SSL-Funktionen zugelassen. |
Methoden |
|
|---|---|
|
Erstellt eine neue TlsInspectionPolicy in einem bestimmten Projekt und an einem bestimmten Ort. |
|
Löscht eine einzelne TlsInspectionPolicy. |
|
Ruft Details zu einer einzelnen TlsInspectionPolicy ab. |
|
Listet TlsInspectionPolicies in einem angegebenen Projekt und an einem angegebenen Standort auf. |
|
Aktualisiert die Parameter einer einzelnen TlsInspectionPolicy. |