Ressource: TlsInspectionPolicy
Die Ressource „TlsInspectionPolicy“ enthält Verweise auf Zertifizierungsstellenpools im Certificate Authority Service und zugehörige Metadaten.
| JSON-Darstellung |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Felder | |
|---|---|
name |
Erforderlich. Der Name der Ressource. Der Name hat das Format „projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}“. „tlsInspectionPolicy“ muss dem Muster (^a–z?$) entsprechen. |
description |
Optional. Textbeschreibung der Ressource. |
createTime |
Nur Ausgabe. Der Zeitstempel, der angibt, wann die Ressource erstellt wurde. Ein Zeitstempel im Format RFC3339 UTC „Zulu“ mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
updateTime |
Nur Ausgabe. Der Zeitstempel der Ressourcenaktualisierung. Ein Zeitstempel im Format RFC3339 UTC „Zulu“ mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: |
caPool |
Erforderlich. Eine Zertifizierungsstellenpool-Ressource, die zum Ausstellen von Abfangzertifikaten verwendet wird. Der String für den Zertifizierungsstellenpool enthält einen relativen Pfad zur Ressource im Format „projects/{project}/locations/{location}/caPools/{caPool}“. |
trustConfig |
Optional. Eine „TrustConfig“-Ressource, die beim Herstellen einer Verbindung zum TLS-Server verwendet wird. Ein relativer Pfad zur Ressource im Format „projects/{project}/locations/{location}/trustConfigs/{trustConfig}“. Wird benötigt, um TLS-Verbindungen zu Servern abzufangen, die Zertifikate mit Signaturen privater Zertifizierungsstellen oder selbst signierte Zertifikate verwenden. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
minTlsVersion |
Optional. TLS-Mindestversion, die die Firewall beim Aushandeln der Verbindungen mit Clients und Servern verwenden soll. Wenn nicht festgelegt, wird standardmäßig die Version verwendet, die die höchstmögliche Anzahl an Clients und Servern zulässt (TLS 1.0 oder höher). Wenn Sie restriktivere Werte festlegen, kann dies zwar die Sicherheit erhöhen, allerdings lässt die Firewall dann möglicherweise zu einigen Clients oder Servern keine Verbindung zu. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
tlsFeatureProfile |
Optional. Das ausgewählte Profil. Wenn nicht festgelegt, wird standardmäßig die breiteste Auswahl an Clients und Servern zugelassen („PROFILE_COMPATIBLE“). Wenn Sie restriktivere Werte festlegen, kann dies zwar die Sicherheit erhöhen, allerdings lässt der TLS-Prüfproxy dann möglicherweise zu einigen Clients oder Servern keine Verbindung zu. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
customTlsFeatures[] |
Optional. Liste der ausgewählten benutzerdefinierten TLS-Cipher-Suites. Dieses Feld ist nur gültig, wenn das ausgewählte „tlsFeatureProfile“ CUSTOM lautet. Die Methode [compute.SslPoliciesService.ListAvailableFeatures][] gibt die Reihe an Features zurück, die in dieser Liste angegeben werden können. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
excludePublicCaSet |
Optional. Bei FALSE (Standardeinstellung) wird zusätzlich zu den in „trustConfig“ angegebenen Zertifizierungsstellen auch der Public CA-Standardsatz von Google verwendet. Diese öffentlichen Zertifizierungsstellen basieren aktuell auf dem Mozilla Root Program und können sich im Laufe der Zeit ändern. Bei TRUE wird der Public CA-Standardsatz von Google nicht akzeptiert, sondern nur die in „trustConfig“ angegebenen Zertifizierungsstellen. Dieser Wert ist standardmäßig auf FALSE gesetzt (Public CAs zusätzlich zu „trustConfig“ verwenden), um Abwärtskompatibilität zu ermöglichen. Die Verwendung öffentlicher Root-Zertifizierungsstellen wird jedoch nicht empfohlen, es sei denn, der Traffic ist ausgehend zu öffentlichen Webservern. Wenn möglich, sollten Sie diese Einstellung auf FALSE setzen und in einer „TrustConfig“ explizit vertrauenswürdige Zertifizierungsstellen und Zertifikate angeben. Beachten Sie, dass dieses Feld von Secure Web Proxy noch nicht berücksichtigt wird. |
TlsVersion
Die Mindestversion des TLS-Protokolls, die von Clients oder Servern für eine Verbindung zum TLS-Prüfproxy verwendet werden kann
| Enums | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Gibt an, dass keine TLS-Version angegeben wurde |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Profil
Das Profil gibt die Reihe an TLS-Cipher-Suites (und in Zukunft möglicherweise auch anderen Funktionen) an, die von der Firewall beim Aushandeln der TLS-Verbindungen zu Clients und Servern verwendet werden können. Die Bedeutung dieser Felder ist identisch mit denen der „SSLPolicy“-Ressource für die Load Balancer.
| Enums | |
|---|---|
PROFILE_UNSPECIFIED |
Gibt an, dass kein Profil angegeben wurde |
PROFILE_COMPATIBLE |
Kompatibles Profil. Ermöglicht der umfassendsten Gruppe an Clients, auch solchen, die nur veraltete SSL-Funktionen unterstützen, die Aushandlung mit dem TLS-Prüfproxy. |
PROFILE_MODERN |
Modernes Profil. Unterstützt eine breite Palette an SSL-Funktionen, mit denen moderne Clients mit dem TLS-Prüfproxy SSL-Verbindungen aushandeln können. |
PROFILE_RESTRICTED |
Eingeschränktes Profil. Unterstützt eine kleinere Anzahl an SSL-Funktionen, die strengere Compliance-Anforderungen erfüllen müssen. |
PROFILE_CUSTOM |
Benutzerdefiniertes Profil. Es sind nur die im Feld „custom_features“ von „SslPolicy“ angegebenen SSL-Funktionen zulässig. |
Methoden |
|
|---|---|
|
Erstellt eine neue „TlsInspectionPolicy“ in einem bestimmten Projekt und an einem bestimmten Standort |
|
Löscht eine einzelne „TlsInspectionPolicy“ |
|
Ruft Details zu einer einzelnen „TlsInspectionPolicy“ ab |
|
Listet „TlsInspectionPolicies“ in einem bestimmten Projekt und an einem bestimmten Standort auf |
|
Aktualisiert die Parameter einer „TlsInspectionPolicy“ |