Come posso risolvere gli errori di certificato scaduto o "certificato non valido" quando richiamo un'API di Gateway Amazon API utilizzando un nome di dominio personalizzato?

3 minuti di lettura

Ho impostato un nome di dominio personalizzato per la mia API di Gateway Amazon API. Ho ricevuto un messaggio di errore che indica che il certificato di Gestione certificati AWS (ACM) è scaduto o un errore di "certificato non valido". Come posso risolvere questo errore?

Breve descrizione

L'errore del certificato scaduto si verifica quando il certificato utilizzato per creare il nome di dominio personalizzato è scaduto.

L'errore "certificato non valido" si verifica a causa di un nome comune (CN) o di un nome del soggetto non corrispondente nel certificato.

Risoluzione

Certificati ACM scaduti

Se il certificato è scaduto, potresti ricevere un errore simile al seguente:

"SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED]"
Per verificare la scadenza del certificato, esegui il comando OpenSSL s_client simile al seguente:

openssl s_client -servername <custom domain name> -connect <custom domain name>:443 2>/dev/null | openssl x509 -noout -dates

Per rinnovare il certificato, consulta la pagina Rinnovo gestito per i certificati ACM.

Per evitare l'utilizzo di certificati scaduti, consulta la pagina How to monitor expirations of imported certificates in ACM (Come monitorare le scadenze dei certificati importati in ACM).

Certificati ACM non corrispondenti

Se il tuo certificato ha un CN o un nome del soggetto non corrispondenti, potresti ricevere un errore simile al seguente:

"ERR_CERT_COMMON_NAME_INVALID"

Conferma quanto segue:

Il certificato utilizzato per creare il nome di dominio personalizzato esiste in ACM.
Il nome del soggetto del certificato o CN include il nome di dominio personalizzato. Ad esempio, se il nome di dominio personalizzato è custom.example.com, il nome del soggetto o CN deve includere custom.example.com o *example.com.
Assicurati che sia presente un record DNS che punti al nome di dominio personalizzato di Gateway Amazon API. Il record DNS può essere di tipo CNAME o A.

Nota: i nomi di dominio personalizzati non possono puntare direttamente all'endpoint execute-api perché il certificato non ha il dominio personalizzato elencato come nome alternativo del soggetto (Subject Alternative Name, SAN).

Configurazione di esempio:

custom.example.com -> CNAME record -> d-yg54udirl4.execute-api.us-east-1.amazonaws.com

Puoi verificare la tua configurazione eseguendo il comando dig sul tuo dominio personalizzato in modo simile al seguente:

$ dig custom.example.com

Informazioni correlate

Come posso risolvere gli errori di risoluzione DNS o di mancata corrispondenza dei certificati per il nome di dominio personalizzato API Gateway?

Argomenti

Serverless Front-end web e dispositivi mobili Networking e distribuzione di contenuti

Tag

Amazon API Gateway

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come si risolvono gli errori di risoluzione DNS o di mancata corrispondenza dei certificati SSL per il nome di dominio personalizzato di Gateway API?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi relativi alla catena di certificati e ai certificati autofirmati per Amazon API Gateway con domini personalizzati e TLS reciproco abilitato?
AWS UFFICIALEAggiornata un anno fa
Perché è stato restituito il certificato errato, quando ho richiamato il mio nome di dominio personalizzato di Gateway Amazon API?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere gli errori 403 "token di autenticazione mancante" quando richiamo API Gateway REST o API HTTP con un nome di dominio personalizzato?
AWS UFFICIALEAggiornata un anno fa