Ho configurato un nome di dominio personalizzato per la mia API di API Gateway. Ho ricevuto un errore indicante che il certificato di Gestione certificati AWS (ACM) è scaduto o non valido.
Breve descrizione
L'errore “certificato scaduto” si verifica quando il certificato utilizzato per creare il nome di dominio personalizzato è scaduto.
L'errore “certificato non valido” si verifica a causa di un nome comune (CN) o un nome del soggetto non corrispondente nel certificato.
Risoluzione
Certificati ACM scaduti
Se il certificato è scaduto, potresti ricevere un errore simile al seguente: ”SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED]”
Per verificare la scadenza del certificato, esegui il comando OpenSSL s_client in modo simile al seguente:
openssl s_client -servername <custom domain name> -connect <custom domain name>:443 2>/dev/null | openssl x509 -noout -dates
Per rinnovare il certificato, consulta Rinnovo gestito di certificati in Gestione certificati AWS.
Per evitare certificati scaduti, consulta Come monitorare le scadenze dei certificati importati in ACM.
Certificati ACM non corrispondenti
Se il certificato ha un nome comune o un nome del soggetto non corrispondente, viene visualizzato un errore simile al seguente: “ERR_CERT_COMMON_NAME_INVALID”
Per risolvere, conferma le seguenti impostazioni:
- Il certificato utilizzato per creare il nome di dominio personalizzato esiste in ACM.
- Il nome del soggetto o il nome comune del certificato include il nome di dominio personalizzato. Ad esempio, se il nome di dominio personalizzato è esempio.personalizzato.com, il nome del soggetto o il nome comune deve includere esempio.personalizzato.com o *esempio.com.
- Assicurati che sia presente un record DNS che punta al nome di dominio personalizzato di API Gateway. Il record DNS può essere di tipo CNAME o A.
Nota: i nomi di dominio personalizzati non possono puntare direttamente all'endpoint execute-api perché il certificato non ha il dominio personalizzato elencato come nome alternativo del soggetto (SAN).
Esempio di configurazione:
esempio.personalizzato.com -> record CNAME -> d-yg54udirl4. execute-api.us-east-1.amazonaws.com
Puoi controllare la tua configurazione eseguendo il comando dig sul tuo dominio personalizzato in modo simile al seguente:
$ dig custom.example.com
Informazioni correlate
Come posso risolvere gli errori di risoluzione DNS o mancata corrispondenza del certificato per il mio nome di dominio personalizzato di API Gateway?