¿Cómo puedo resolver los errores de resolución de DNS o de falta de coincidencia de certificados SSL para mi nombre de dominio personalizado de API Gateway?

Resolución

Resolución de errores de dominio personalizado de la API pública

Para conectarse a un nombre de dominio personalizado para las API públicas de API Gateway, debe configurar Amazon Route 53 para enrutar el tráfico a un punto de enlace de API Gateway.

Si no asigna los registros DNS del nombre de dominio personalizado al nombre de dominio correcto de API Gateway, se producirá un error en la conexión SSL. Esto se debe a que se devuelve el certificado predeterminado *.execute-api.<region>.amazonaws.com en lugar del certificado SSL/TLS.

Para comprobar si asignó correctamente los registros DNS, ejecute el siguiente comando:

nslookup custom-domain-name

Nota: Sustituya custom-domain-name por su nombre de dominio personalizado.

El resultado devuelve el nombre de dominio de API Gateway. Asegúrese de que el nombre de dominio personalizado coincide con el nombre de dominio de API Gateway. Si usa un registro de alias de Route 53 para asignar su DNS, el resultado devuelve la dirección IP. Asegúrese de que la dirección IP coincida con la dirección IP del nombre de dominio de API Gateway.

Resolución de errores de dominio personalizado de API privadas

Para conectarse a un nombre de dominio personalizado para las API privadas de API Gateway, debe configurar Route 53 para enrutar el tráfico a un nombre DNS de punto de enlace de nube virtual privada (VPC).

Para comprobar si el registro DNS asignado es correcto, ejecute el siguiente comando:

nslookup custom-domain-name

Nota: Sustituya custom-domain-name por su nombre de dominio personalizado.

El resultado devuelve la dirección IP privada del punto de enlace de VPC execute-api. Asegúrese de que la dirección IP coincida con la dirección IP de la subred del punto de enlace de VPC que configuró con su API Gateway.

Compruebe que ha creado una asociación de acceso a nombres de dominio entre el nombre de dominio personalizado y el punto de enlace de VPC execute-api.

Para comprobar si ha creado la asociación de acceso a nombres de dominio, ejecute el siguiente comando:

curl https://custom-domain-name/resource-path

Nota: Sustituya custom-domain-name por su nombre de dominio personalizado y resource-path por su ruta de recursos.

Si ha creado la asociación, el resultado devuelve la respuesta del punto de enlace de integración. Si no ha creado la asociación, la conexión SSL fallará y aparecerá el mensaje de error «SSL: ningún nombre de asunto de certificado alternativo coincide con el nombre de host del objetivo».

Nota: Al configurar un nombre de dominio personalizado para una API pública regional u optimizada para la periferia en Route 53, debe crear una zona alojada pública. Elija una zona alojada pública para las aplicaciones públicas con recursos que desee poner a disposición de los usuarios.

Al crear un dominio personalizado para una API privada, debe crear una zona alojada privada y adjuntar la VPC de cliente a la zona alojada.

Route 53 usa registros para determinar hacia dónde quiere dirigir el tráfico del dominio. Puede elegir usar un registro de alias o un registro CNAME.

Información relacionada

Preparación de los certificados en AWS Certificate Manager

¿Cómo puedo configurar un nombre de dominio personalizado para mi API de API Gateway?

Migración de un nombre de dominio personalizado a otro tipo de punto de enlace de API en API Gateway