Ressource: ServerTlsPolicy
ServerTlsPolicy ist eine Ressource, die angibt, wie ein Server eingehende Anfragen authentifizieren soll. Diese Ressource selbst hat keine Auswirkungen auf die Konfiguration, es sei denn, sie ist an eine Auswahlressource für die Ziel-HTTPS-Proxy- oder Endpunktkonfiguration angehängt.
ServerTlsPolicy in der von Application Load Balancern akzeptierten Form kann nur an TargetHttpsProxy mit einem Load-Balancing-Schema vom Typ EXTERNAL
, EXTERNAL_MANAGED
oder INTERNAL_MANAGED
angehängt werden. Mit Traffic Director kompatible ServerTlsPolicies können an EndpointPolicy und TargetHttpsProxy mit dem Traffic Director-Load-Balancing-Schema INTERNAL_SELF_MANAGED
angehängt werden.
JSON-Darstellung |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
Felder | |
---|---|
name |
Erforderlich. Name der ServerTlsPolicy-Ressource. Sie entspricht dem Muster |
description |
Freitextbeschreibung der Ressource. |
createTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde. Verwendet RFC 3339, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Nachkommastellen verwendet. Andere Offsets als „Z“ werden ebenfalls akzeptiert. Beispiele: |
updateTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource aktualisiert wurde. Verwendet RFC 3339, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Nachkommastellen verwendet. Andere Offsets als „Z“ werden ebenfalls akzeptiert. Beispiele: |
labels |
Eine Reihe von Label-Tags, die mit der Ressource verknüpft sind. Ein Objekt, das eine Liste von |
allowOpen |
Dieses Feld gilt nur für Traffic Director-Richtlinien. Für Application Load Balancer-Richtlinien muss sie auf „false“ gesetzt werden. Bestimmt, ob der Server Klartextverbindungen zulässt. Wenn das Kästchen markiert ist, lässt der Server Klartextverbindungen zu. Standardmäßig ist sie auf „false“ gesetzt. Diese Einstellung schließt andere Verschlüsselungsmodi nicht aus. Wenn beispielsweise Sie sollten es verwenden, wenn Sie Ihre Bereitstellung auf TLS aktualisieren möchten, während sowohl TLS- als auch Nicht-TLS-Traffic Port 80 erreicht. |
serverCertificate |
Optional, wenn die Richtlinie mit Traffic Director verwendet werden soll. Für Application Load Balancer muss sie leer sein. Definiert einen Mechanismus zum Bereitstellen der Serveridentität (öffentliche und private Schlüssel). Kann nicht mit |
mtlsPolicy |
Dieses Feld ist erforderlich, wenn die Richtlinie mit Application Load Balancern verwendet wird. Dieses Feld kann für Traffic Director leer sein. Definiert einen Mechanismus zum Bereitstellen von Peer-Validierungszertifikaten für die Peer-to-Peer-Authentifizierung (gegenseitige TLS-Authentifizierung – mTLS). Wenn nicht angegeben, wird kein Clientzertifikat angefordert. Die Verbindung wird als TLS und nicht als mTLS behandelt. Wenn |
MTLSPolicy
Spezifikation der MTLSPolicy.
JSON-Darstellung |
---|
{ "clientValidationMode": enum ( |
Felder | |
---|---|
clientValidationMode |
Wenn der Client dem Load Balancer ein ungültiges oder kein Zertifikat vorlegt, gibt der Erforderlich, wenn die Richtlinie mit Application Load Balancern verwendet werden soll. Für Traffic Director muss sie leer sein. |
clientValidationCa[] |
Erforderlich, wenn die Richtlinie mit Traffic Director verwendet werden soll. Für Application Load Balancer muss es leer sein. Definiert den Mechanismus zum Abrufen des CA-Zertifikats zum Validieren des Clientzertifikats. |
clientValidationTrustConfig |
Verweis auf die TrustConfig aus dem Namespace certificatemanager.googleapis.com. Falls angegeben, wird die Kettenvalidierung anhand der in der angegebenen TrustConfig konfigurierten Zertifikate durchgeführt. Nur zulässig, wenn die Richtlinie mit Application Load Balancern verwendet werden soll. |
tier |
Gegenseitiges TLS Nur zulässig, wenn die Richtlinie mit Application Load Balancern verwendet werden soll. |
ClientValidationMode
Modus für die Validierung des gegenseitigen TLS-Zertifikats.
Enums | |
---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Nicht zulässig. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Verbindung zulassen, auch wenn die Validierung der Zertifikatskette des Clientzertifikats fehlgeschlagen ist oder kein Clientzertifikat vorgelegt wurde. Der Nachweis des Besitzes des privaten Schlüssels wird immer geprüft, wenn ein Clientzertifikat vorgelegt wurde. In diesem Modus muss das Backend die Verarbeitung von Daten implementieren, die aus einem Clientzertifikat extrahiert wurden, um den Peer zu authentifizieren oder Verbindungen abzulehnen, wenn der Fingerabdruck des Clientzertifikats fehlt. |
REJECT_INVALID |
Ein Clientzertifikat ist erforderlich und die Verbindung zum Backend ist nur zulässig, wenn die Validierung des Clientzertifikats erfolgreich war. Wenn festgelegt, ist ein Verweis auf eine nicht leere TrustConfig erforderlich, die in |
Stufe
Gegenseitiges TLS für XLB.
Enums | |
---|---|
TIER_UNSPECIFIED |
Wenn die Stufe in der Anfrage nicht angegeben ist, wählt das System einen Standardwert aus – derzeit die Stufe STANDARD . |
STANDARD |
Standardstufe Hauptsächlich für Softwareanbieter (Dienst-zu-Dienst-/API-Kommunikation). |
ADVANCED |
Erweiterte Stufe Für Kunden in stark regulierten Umgebungen: längere Schlüssel und komplexe Zertifikatketten. |
Methoden |
|
---|---|
|
Erstellt eine neue ServerTlsPolicy in einem bestimmten Projekt und an einem bestimmten Standort. |
|
Löscht eine einzelne ServerTlsPolicy. |
|
Ruft Details zu einer einzelnen ServerTlsPolicy ab. |
|
Listet ServerTlsPolicies in einem angegebenen Projekt und an einem angegebenen Standort auf. |
|
Aktualisiert die Parameter einer einzelnen ServerTlsPolicy. |