Recurso: ServerTlsPolicy
ServerTlsPolicy é um recurso que especifica como um servidor deve autenticar as solicitações recebidas. Esse recurso em si não afeta a configuração, a menos que esteja anexado a um proxy HTTPS de destino ou recurso de seletor de configuração de endpoint.
ServerTlsPolicy no formato aceito pelos balanceadores de carga de aplicativo só pode ser anexado a TargetHttpsProxy com um esquema de balanceamento de carga EXTERNAL, EXTERNAL_MANAGED ou INTERNAL_MANAGED. As ServerTlsPolicies compatíveis com o Traffic Director podem ser anexadas a EndpointPolicy e TargetHttpsProxy com o esquema de balanceamento de carga do Traffic Director INTERNAL_SELF_MANAGED.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso ServerTlsPolicy. Ele corresponde ao padrão |
description |
Descrição de texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Usa RFC 3339, em que a saída gerada é sempre normalizada em Z e usa 0, 3, 6 ou 9 dígitos fracionários. Outros ajustes também são aceitos. Por exemplo, |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Usa RFC 3339, em que a saída gerada é sempre normalizada em Z e usa 0, 3, 6 ou 9 dígitos fracionários. Outros ajustes também são aceitos. Por exemplo, |
labels |
Conjunto de tags de rótulo associadas ao recurso. Um objeto com uma lista de pares |
allowOpen |
Esse campo se aplica apenas às políticas do Traffic Director. Ele precisa ser definido como "false" para políticas do balanceador de carga de aplicativo. Determina se o servidor permite conexões de texto simples Se definido como "true", o servidor permite conexões de texto simples. Por padrão, ela é definida como "false". Essa configuração não é exclusiva de outros modos de criptografia. Por exemplo, se Considere usar esse comando se quiser atualizar sua implantação para TLS enquanto tiver tráfego misto de TLS e não TLS chegando à porta :80. |
serverCertificate |
Opcional se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativo, precisa estar vazio. Define um mecanismo para provisionar a identidade do servidor (chaves pública e privada). Não pode ser combinado com |
mtlsPolicy |
Esse campo é obrigatório se a política for usada com balanceadores de carga de aplicativo. Esse campo pode ficar vazio para o Traffic Director. Define um mecanismo para provisionar certificados de validação de pares para autenticação de pares (TLS mútuo – mTLS). Se não for especificado, o certificado do cliente não será solicitado. A conexão é tratada como TLS, não mTLS. Se |
MTLSPolicy
Especificação da MTLSPolicy.
| Representação JSON |
|---|
{ "clientValidationMode": enum ( |
| Campos | |
|---|---|
clientValidationMode |
Quando o cliente apresenta um certificado inválido ou nenhum certificado para o balanceador de carga, o Obrigatório se a política for usada com os balanceadores de carga de aplicativo. Para o Traffic Director, ele precisa estar vazio. |
clientValidationCa[] |
Obrigatório se a política for usada com o Traffic Director. Para balanceadores de carga de aplicativo, ele precisa estar vazio. Define o mecanismo para obter o certificado da autoridade de certificação e validar o certificado do cliente. |
clientValidationTrustConfig |
Referência ao TrustConfig do namespace certificatemanager.googleapis.com. Se especificado, a validação da cadeia será realizada em relação aos certificados configurados na TrustConfig especificada. Permitido apenas se a política for usada com balanceadores de carga de aplicativo. |
tier |
Nível do TLS mútuo. Permitido apenas se a política for usada com balanceadores de carga de aplicativo. |
ClientValidationMode
Modo de validação de certificado TLS mútuo.
| Enums | |
|---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Não permitido. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Permite a conexão mesmo que a validação da cadeia de certificados do certificado do cliente tenha falhado ou nenhum certificado do cliente tenha sido apresentado. O comprovante de posse da chave privada é sempre verificado se o certificado do cliente foi apresentado. Esse modo exige que o back-end implemente o processamento de dados extraídos de um certificado do cliente para autenticar o peer ou rejeite conexões se a impressão digital do certificado do cliente estiver faltando. |
REJECT_INVALID |
Exigir um certificado de cliente e permitir a conexão com o back-end somente se a validação do certificado de cliente for aprovada. Se definido, exige uma referência a TrustConfig não vazio especificado em |
Nível
Nível de TLS mútuo para XLB.
| Enums | |
|---|---|
TIER_UNSPECIFIED |
Se o nível não for especificado na solicitação, o sistema vai escolher um valor padrão, que atualmente é o nível STANDARD. |
STANDARD |
Nível padrão. Principalmente para provedores de software (comunicação de serviço para serviço/API). |
ADVANCED |
Nível avançado. Para clientes em ambientes altamente regulamentados, especifique chaves mais longas e cadeias de certificados complexas. |
Métodos |
|
|---|---|
|
Cria uma ServerTlsPolicy em um determinado projeto e local. |
|
Exclui uma única ServerTlsPolicy. |
|
Recebe detalhes de uma única ServerTlsPolicy. |
|
Lista ServerTlsPolicies em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única ServerTlsPolicy. |