資源:TlsInspectionPolicy
TlsInspectionPolicy 資源包含憑證授權單位服務中的 CA 集區參照,以及相關的中繼資料。
JSON 表示法 |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
欄位 | |
---|---|
name |
這是必要旗標,資源名稱。名稱的格式為 projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy},其中 tlsInspectionPolicy 應符合模式:(^a-z?$)。 |
description |
(非必要) 資源的自由文字說明。 |
createTime |
僅供輸出。資源建立時間的時間戳記。 採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如: |
updateTime |
僅供輸出。資源更新時間的時間戳記。 採用 RFC3339 世界標準時間「Zulu」格式的時間戳記,精確度達奈秒單位,最多九個小數位數。例如: |
caPool |
這是必要旗標,用來核發攔截憑證的 CA 集區資源。CA 集區字串包含相對資源路徑,格式為「projects/{project}/locations/{location}/caPools/{caPool}」。 |
trustConfig |
(非必要) 連線至 TLS 伺服器時使用的 TrustConfig 資源。這是相對資源路徑,格式為「projects/{project}/locations/{location}/trustConfigs/{trustConfig}」。這是為了攔截與私人 CA 簽署憑證或自行簽署憑證的伺服器建立的 TLS 連線。請注意,Secure Web Proxy 尚未支援這個欄位。 |
minTlsVersion |
(非必要) 防火牆在與用戶端和伺服器協商連線時,應使用的最低 TLS 版本。如果未設定,則預設值會允許最廣泛的用戶端和伺服器 (TLS 1.0 以上)。將這項值設為更嚴格的值雖然可提升安全性,但也可能會導致防火牆無法連線至部分用戶端或伺服器。請注意,Secure Web Proxy 尚未支援這個欄位。 |
tlsFeatureProfile |
(非必要) 所選設定檔。如果未設定此值,則預設值會允許最廣泛的用戶端和伺服器組合 (「PROFILE_COMPATIBLE」)。將這項設定設為較嚴格的值雖然可以提升安全性,但也可能會導致 TLS 檢查 Proxy 無法連線至部分用戶端或伺服器。請注意,Secure Web Proxy 尚未支援這個欄位。 |
customTlsFeatures[] |
(非必要) 所選的自訂 TLS 加密套件清單。只有在所選 tlsFeatureProfile 為「自訂」時,這個欄位才有效。[compute.SslPoliciesService.ListAvailableFeatures][] 方法會傳回可在清單中指定的功能組合。請注意,Secure Web Proxy 尚未支援這個欄位。 |
excludePublicCaSet |
(非必要) 如果為 FALSE (預設值),除了 trustConfig 中指定的 CA 外,還會使用我們的預設公開 CA 組合。這些公開 CA 目前是以 Mozilla Root Program 為基礎,且可能隨時間變動。如果為 TRUE,則不接受預設的公開 CA 組合。系統只會接受 trustConfig 中指定的 CA。這項屬性預設為 FALSE (除了 trustConfig 外,也使用公開 CA),以便向後相容,但除非有問題的流量是傳出至公開網站伺服器,否則不建議信任公開根 CA。建議您盡可能將此值設為「false」,並在 TrustConfig 中明確指定信任的 CA 和憑證。請注意,Secure Web Proxy 尚未支援這個欄位。 |
TlsVersion
用戶端或伺服器可用來與 TLS 檢查 Proxy 建立連線的 TLS 通訊協定最低版本。
列舉 | |
---|---|
TLS_VERSION_UNSPECIFIED |
表示未指定 TLS 版本。 |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
設定檔
設定檔會指定防火牆與用戶端和伺服器協商 TLS 連線時,可使用的 TLS 加密套件組合 (以及日後可能的其他功能)。這些欄位的含義與負載平衡器的 SSLPolicy 資源相同。
列舉 | |
---|---|
PROFILE_UNSPECIFIED |
表示未指定設定檔。 |
PROFILE_COMPATIBLE |
相容的設定檔。允許與 TLS 檢查 Proxy 交涉的用戶端組合範圍最廣,涵蓋僅支援過時 SSL 功能的用戶端。 |
PROFILE_MODERN |
現代設定檔。支援廣泛的 SSL 功能組合,可讓使用現行版本的客戶與 TLS 檢查 Proxy 交涉 SSL。 |
PROFILE_RESTRICTED |
受限設定檔。支援較少的 SSL 功能組合,適用於較嚴格的法規遵循規定。 |
PROFILE_CUSTOM |
自訂設定檔。僅允許 SslPolicy 的 custom_features 欄位中指定的 SSL 功能組合。 |
方法 |
|
---|---|
|
在指定的專案和位置中建立新的 TlsInspectionPolicy。 |
|
刪除單一 TlsInspectionPolicy。 |
|
取得單一 TlsInspectionPolicy 的詳細資料。 |
|
列出指定專案和位置中的 TlsInspectionPolicies。 |
|
更新單一 TlsInspectionPolicy 的參數。 |