REST Resource: projects.locations.serverTlsPolicies

{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  },
  "internalCaller": boolean,
  "minTlsVersion": enum (TlsVersion),
  "maxTlsVersion": enum (TlsVersion),
  "cipherSuites": [
    string
  ],
  "subjectAltNames": [
    string
  ]
}

string

Obrigatório. Nome do recurso ServerTlsPolicy. Corresponde ao padrão projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy}

string

Descrição em texto livre do recurso.

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi criado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi atualizado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

map (key: string, value: string)

Conjunto de tags de rótulos associadas ao recurso.

Um objeto com uma lista de pares "key": value. Exemplo: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

boolean

Esse campo se aplica apenas às políticas do Traffic Director. Ele precisa ser definido como "false" para políticas do balanceador de carga HTTPS externo.

Determina se o servidor permite conexões de texto simples. Se definido como verdadeiro, o servidor permitirá conexões de texto simples. Por padrão, ela é definida como falsa. Essa configuração não é exclusiva de outros modos de criptografia. Por exemplo, se allowOpen e mtlsPolicy estiverem definidos, o servidor permitirá conexões de texto simples e mTLS. Consulte a documentação de outros modos de criptografia para confirmar a compatibilidade.

Considere usá-lo se quiser fazer upgrade da sua implantação para TLS e ainda ter tráfego misto de TLS e não TLS que alcança a porta :80.

object (CertificateProvider)

Opcional se a política for usada com o Traffic Director. O balanceador de carga HTTPS externo precisa estar vazio.

Define um mecanismo para provisionar a identidade do servidor (chaves públicas e privadas). Não pode ser combinado com allowOpen, já que um modo permissivo que permite texto simples e TLS não é compatível.

object (MTLSPolicy)

Este campo será obrigatório se a política for usada com balanceadores de carga HTTPS externos. Esse campo pode ficar vazio para o Traffic Director.

Define um mecanismo para provisionar certificados de validação ponto a ponto para autenticação ponto a ponto (TLS mútuo - mTLS). Se não for especificado, o certificado do cliente não será solicitado. A conexão é tratada como TLS, e não mTLS. Se allowOpen e mtlsPolicy estiverem definidos, o servidor permitirá conexões de texto simples e mTLS.

boolean

Opcional. Uma flag definida para identificar controladores internos aciona uma verificação do P4SA para confirmar que o autor da chamada é do P4SA de um serviço da lista de permissões, mesmo que outros campos opcionais não estejam definidos.

enum (TlsVersion)

Opcional. Versão mínima de TLS usada apenas para o Envoy. Se não for especificada, o Envoy vai usar a versão padrão. Envoy mais recente: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto

enum (TlsVersion)

Opcional. Versão máxima de TLS usada apenas para o Envoy. Se não for especificada, o Envoy vai usar a versão padrão. Envoy mais recente: https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/transport_sockets/tls/v3/common.proto

string

Opcional. Conjuntos de criptografia personalizados TLS usados apenas no CSM. As seguintes criptografias são compatíveis: ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA256 ECDHE-ECACHACDA-SHAES-SHA256CDACDA/

string

Opcional. Validação do lado do servidor para SAN do cliente, usada apenas no CSM. Se não for especificado, o SAN do cliente não será verificado pelo servidor.

{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string,
  "tier": enum (Tier)
}

enum (ClientValidationMode)

Quando o cliente apresenta um certificado inválido ou nenhum certificado ao balanceador de carga, o clientValidationMode especifica como a conexão do cliente é tratada.

Obrigatório se a política for usada com o balanceamento de carga HTTPS externo. No Traffic Director, ele precisa estar vazio.

object (ValidationCA)

Necessária para usar a política com o Traffic Director. Em balanceadores de carga HTTPS externos, ele precisa estar vazio.

Define o mecanismo para receber o certificado da autoridade de certificação e validar o certificado do cliente.

string

Referência ao TrustConfig do namespace certificationmanager.googleapis.com.

Se especificado, a validação da cadeia vai ser realizada nos certificados configurados no TrustConfig fornecido.

Permitido apenas se a política for usada com balanceadores de carga HTTPS externos.

enum (Tier)

Nível TLS mútuo.

Permitido apenas se a política for usada com balanceadores de carga HTTPS externos.