Recurso: ServerTlsPolicy
ServerTlsPolicy é um recurso que especifica como um servidor deve autenticar as solicitações recebidas. Esse recurso em si não afeta a configuração, a menos que esteja anexado a um proxy HTTPS de destino ou recurso de seletor de configuração de endpoint.
O ServerTlsPolicy no formulário aceito pelos balanceadores de carga de aplicativo só pode ser anexado ao TargetHttpsProxy com um esquema de balanceamento de carga EXTERNAL, EXTERNAL_MANAGED ou INTERNAL_MANAGED. As ServerTlsPolicies compatíveis com o Traffic Director podem ser anexadas a EndpointPolicy e TargetHttpsProxy com o esquema de balanceamento de carga INTERNAL_SELF_MANAGED do Traffic Director.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso ServerTlsPolicy. Ele corresponde ao padrão |
description |
Descrição em texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Usa o RFC 3339, em que a saída gerada é sempre normalizada em Z e usa dígitos fracionários 0, 3, 6 ou 9. Deslocamentos diferentes de "Z" também são aceitos. Exemplos: |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Usa o RFC 3339, em que a saída gerada é sempre normalizada em Z e usa dígitos fracionários 0, 3, 6 ou 9. Deslocamentos diferentes de "Z" também são aceitos. Exemplos: |
labels |
Conjunto de tags de rótulo associadas ao recurso. Um objeto com uma lista de pares |
allowOpen |
Este campo se aplica apenas às políticas do Traffic Director. Ele precisa ser definido como "false" para políticas do Application Load Balancer. Determina se o servidor permite conexões de texto simples Se definido como "true", o servidor permite conexões de texto simples. Por padrão, ela é definida como falsa. Essa configuração não é exclusiva de outros modos de criptografia. Por exemplo, se Use essa opção se quiser fazer upgrade da sua implantação para TLS, mantendo o tráfego misto de TLS e não TLS que chega à porta 80. |
serverCertificate |
Opcional se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativos, precisa estar vazio. Define um mecanismo para provisionar a identidade do servidor (chaves públicas e privadas). Não é possível combinar com |
mtlsPolicy |
Este campo é obrigatório se a política for usada com balanceadores de carga de aplicativo. Esse campo pode ficar vazio no Traffic Director. Define um mecanismo para provisionar certificados de validação de pares para autenticação de pares (TLS mútuo - mTLS). Se não for especificado, o certificado do cliente não será solicitado. A conexão é tratada como TLS, e não mTLS. Se |
MTLSPolicy
Especificação da MTLSPolicy.
| Representação JSON |
|---|
{ "clientValidationMode": enum ( |
| Campos | |
|---|---|
clientValidationMode |
Quando o cliente apresenta um certificado inválido ou nenhum certificado para o balanceador de carga, o Obrigatório se a política for usada com os balanceadores de carga de aplicativo. Para o Traffic Director, ele precisa estar vazio. |
clientValidationCa[] |
Obrigatório se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativo, ele precisa estar vazio. Define o mecanismo para conseguir o certificado da autoridade certificadora para validar o certificado do cliente. |
clientValidationTrustConfig |
Referência ao TrustConfig do namespace certificatemanager.googleapis.com. Se especificado, a validação da cadeia será realizada em certificados configurados no TrustConfig. Só é permitido se a política for usada com balanceadores de carga de aplicativo. |
tier |
Nível de TLS mútuo. Só é permitido se a política for usada com balanceadores de carga de aplicativo. |
ClientValidationMode
Modo de validação de certificado TLS mútuo.
| Enums | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Não permitido. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Permite a conexão mesmo que a validação da cadeia de certificados do certificado do cliente tenha falhado ou nenhum certificado do cliente tenha sido apresentado. O comprovante de posse da chave privada é sempre verificado se o certificado do cliente foi apresentado. Esse modo exige que o back-end implemente o processamento de dados extraídos de um certificado do cliente para autenticar o peer ou rejeitar conexões se a impressão digital do certificado do cliente estiver ausente. |
REJECT_INVALID |
Exigir um certificado de cliente e permitir a conexão com o back-end somente se a validação do certificado do cliente for bem-sucedida. Se definido, exige uma referência a um TrustConfig não vazio especificado em |
Nível
Nível TLS mútuo para XLB.
| Enums | |
|---|---|
TIER_UNSPECIFIED |
Se o nível não for especificado na solicitação, o sistema vai escolher um valor padrão, atualmente o nível STANDARD. |
STANDARD |
Nível padrão. Principalmente para provedores de software (comunicação de serviço para serviço/API). |
ADVANCED |
Nível avançado. Para clientes em ambientes altamente regulamentados, especificando chaves mais longas, cadeias de certificados complexas. |
Métodos |
|
|---|---|
|
Cria uma nova ServerTlsPolicy em um determinado projeto e local. |
|
Exclui uma única ServerTlsPolicy. |
|
Recebe detalhes de uma única ServerTlsPolicy. |
|
Lista as políticas de ServerTls em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única ServerTlsPolicy. |