Recurso: ServerTlsPolicy
ServerTlsPolicy es un recurso que especifica cómo un servidor debe autenticar solicitudes entrantes. Este recurso no afecta la configuración, a menos que esté conectado a un proxy HTTPS de destino o a un recurso selector de configuración de extremo.
ServerTlsPolicy en el formato aceptado por los balanceadores de cargas de aplicaciones solo se puede adjuntar a TargetHttpsProxy con un esquema de balanceo de cargas EXTERNAL, EXTERNAL_MANAGED o INTERNAL_MANAGED. Las políticas ServerTlsPolicies compatibles con Traffic Director se pueden adjuntar a EndpointPolicy y TargetHttpsProxy con el esquema de balanceo de cargas INTERNAL_SELF_MANAGED de Traffic Director.
| Representación JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campos | |
|---|---|
name |
Obligatorio. Es el nombre del recurso ServerTlsPolicy. Coincide con el patrón |
description |
Es la descripción de texto libre del recurso. |
createTime |
Solo salida. Marca de tiempo cuando se creó el recurso. Usa el RFC 3339, en el que el resultado generado siempre se normaliza según la zona horaria Z y usa 0, 3, 6 o 9 dígitos fraccionarios. También se aceptan otras compensaciones que no sean "Z". Ejemplos: |
updateTime |
Solo salida. La marca de tiempo cuando se creó el recurso. Usa el RFC 3339, en el que el resultado generado siempre se normaliza según la zona horaria Z y usa 0, 3, 6 o 9 dígitos fraccionarios. También se aceptan otras compensaciones que no sean "Z". Ejemplos: |
labels |
Es un conjunto de etiquetas asociadas con el recurso. Un objeto que contiene una lista de pares |
allowOpen |
Este campo solo se aplica a las políticas de Traffic Director. Debe establecerse en falso para las políticas del balanceador de cargas de aplicaciones. Determina si el servidor permite conexiones de texto simple. Si se establece como verdadero, el servidor permite conexiones de texto sin formato. De forma predeterminada, se establece como falso. Este parámetro de configuración no es exclusivo de otros modos de encriptación. Por ejemplo, si se configuran Considera usarlo si deseas actualizar tu implementación a TLS in situ y tener tráfico mixto de TLS y no TLS que llegue al puerto :80. |
serverCertificate |
Es opcional si la política se usará con Traffic Director. Para balanceadores de cargas de aplicaciones, debe estar vacío. Define un mecanismo para aprovisionar la identidad del servidor (claves públicas y privadas). No se puede combinar con |
mtlsPolicy |
Este campo es obligatorio si la política se usa con balanceadores de cargas de aplicaciones. Este campo puede estar vacío para Traffic Director. Define un mecanismo para aprovisionar certificados de validación de pares para la autenticación de par a par (TLS mutua, mTLS). Si no se especifica, no se solicitará el certificado de cliente. La conexión se trata como TLS y no como mTLS. Si se configuran |
MTLSPolicy
Es la especificación de MTLSPolicy.
| Representación JSON |
|---|
{ "clientValidationMode": enum ( |
| Campos | |
|---|---|
clientValidationMode |
Cuando el cliente presenta un certificado no válido o ningún certificado al balanceador de cargas, Se requiere si la política se usará con los balanceadores de cargas de aplicaciones. Para Traffic Director, debe estar vacío. |
clientValidationCa[] |
Se requiere si la política se usará con Traffic Director. Para los balanceadores de cargas de aplicaciones, debe estar vacío. Define el mecanismo para obtener el certificado de la autoridad certificadora y validar el certificado del cliente. |
clientValidationTrustConfig |
Es una referencia a TrustConfig del espacio de nombres certificatemanager.googleapis.com. Si se especifica, la validación de la cadena se realizará con los certificados configurados en el TrustConfig determinado. Solo se permite si la política se usará con balanceadores de cargas de aplicaciones. |
tier |
Es el nivel de TLS mutua. Solo se permite si la política se usará con balanceadores de cargas de aplicaciones. |
ClientValidationMode
Modo de validación de certificados de TLS mutua.
| Enums | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
No se permite. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Permite la conexión incluso si falló la validación de la cadena de certificados del certificado de cliente o no se presentó ningún certificado de cliente. La prueba de posesión de la clave privada siempre se verifica si se presentó el certificado de cliente. Este modo requiere que el backend implemente el procesamiento de los datos extraídos de un certificado de cliente para autenticar el par o rechazar las conexiones si falta la huella digital del certificado de cliente. |
REJECT_INVALID |
Requiere un certificado de cliente y permite la conexión al backend solo si se aprobó la validación del certificado de cliente. Si se configura, requiere una referencia a TrustConfig no vacío especificado en |
Nivel
Es el nivel de TLS mutua para el XLB.
| Enums | |
|---|---|
TIER_UNSPECIFIED |
Si no se especifica el nivel en la solicitud, el sistema elegirá un valor predeterminado (actualmente, el nivel STANDARD). |
STANDARD |
Es el nivel predeterminado. Principalmente para proveedores de software (comunicación de servicio a servicio o de API). |
ADVANCED |
Nivel avanzado. Para los clientes en entornos altamente regulados, se especifican claves más largas y cadenas de certificados complejas. |
Métodos |
|
|---|---|
|
Crea una nueva ServerTlsPolicy en un proyecto y una ubicación determinados. |
|
Borra una sola ServerTlsPolicy. |
|
Obtiene los detalles de una sola ServerTlsPolicy. |
|
Enumera ServerTlsPolicies en una ubicación y un proyecto determinados. |
|
Actualiza los parámetros de un solo ServerTlsPolicy. |