Comment puis-je résoudre les erreurs d’expiration de certificat ou de « certificat non valide » lors de l'invocation d'une API API Gateway à l'aide d'un nom de domaine personnalisé ?

Lecture de 2 minute(s)
0

J’ai configuré un nom de domaine personnalisé pour mon API API Gateway. J'ai reçu un message d'erreur indiquant que le certificat AWS Certificate Manager (ACM) a expiré ou est un « certificat non valide ».

Brève description

L'erreur « certificate has expired » se produit lorsque le certificat utilisé pour créer le nom de domaine personnalisé a expiré.

L' erreur « invalid certificate » se produit en raison d'un nom commun (CN) ou d'un nom d’objet incompatible dans le certificat.

Résolution

Certificats ACM expirés

Si votre certificat a expiré, il se peut qu’une erreur similaire à l’erreur suivante s’affiche : « SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] »

Pour vérifier l'expiration du certificat, exécutez la commande OpenSSL s_client comme suit :

openssl s_client -servername <custom domain name> -connect <custom domain name>:443 2>/dev/null | openssl x509 -noout -dates

Pour renouveler le certificat, consultez la section Renouvellement des certificats gérés dans AWS Certificate Manager.

Pour éviter l'expiration des certificats, consultez la section Comment surveiller les expirations de certificats importés dans ACM.

Certificats ACM incompatibles

Si votre certificat comporte un CN ou un nom d’objet incompatible, une erreur similaire à l’erreur suivante s’affiche : « ERR_CERT_COMMON_NAME_INVALID »

Pour résoudre cette erreur, vérifiez les paramètres suivants :

  • Le certificat utilisé pour créer le nom de domaine personnalisé existe dans ACM.
  • Le nom d’objet ou le CN du certificat inclut le nom de domaine personnalisé. Par exemple, si le nom de domaine personnalisé est custom.example.com, le nom d’objet ou le CN doit inclure custom.example.com ou *example.com.
  • Assurez-vous qu'un enregistrement DNS pointe vers le nom de domaine personnalisé API Gateway. L'enregistrement DNS peut être de type CNAME ou A.

Remarque : Les noms de domaine personnalisés ne peuvent pas pointer directement vers le point de terminaison execute-api car le domaine personnalisé n'est pas répertorié comme nom alternatif d’objet (SAN) sur le certificat.

Exemple de configuration :

custom.example.com -> enregistrement CNAME -> d-yg54udirl4.execute-api.us-east-1.amazonaws.com

Vous pouvez vérifier votre configuration en exécutant la commande dig sur votre domaine personnalisé comme suit :

$ dig custom.example.com

Informations connexes

Comment puis-je résoudre les erreurs de résolution DNS ou d’incompatibilité de certificat pour mon nom de domaine personnalisé API Gateway ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois