如何解決 API Gateway 自訂網域名稱的 DNS 解析或 SSL 憑證不符錯誤？

簡短描述

您可以為 API 閘道 API 建立兩種類型的自訂網域名稱：區域或 (僅適用於 REST API) 邊緣最佳化。

解決方案

在為 API 建立自訂網域名稱之前，您必須執行下列其中一項動作：

向 AWS Certificate Manager (ACM) 請求 SSL/TLS 憑證。
-或-
將 SSL/TLS 憑證匯入 ACM。

如需詳細資訊，請參閱在 AWS Certificate Manager 中準備好憑證。

擁有 SSL/TLS 憑證之後，您可以依照指示為我的 API Gateway API 設定自訂網域名稱。

若要連線到 API Gateway API 的自訂網域名稱，您必須設定 Amazon Route 53 以將流量路由到 API Gateway 端點。

如果自訂網域名稱的 DNS 記錄未映射至正確的 API Gateway 網域名稱，則 SSL 連線會失敗。這是因為預設系統會傳回 *.execute-api.<region>.amazonaws.com 憑證，而不是傳回 SSL/TLS 憑證。

若要確認 DNS 映射正確，請從用戶端執行下列命令：

$ nslookup <customdomainname>

輸出應為 API Gateway 網域名稱。確保此網域名稱與 API Gateway 網域名稱相符。如果使用 Route 53 別名記錄進行 DNS 映射，則輸出為 IP 地址。確保此 IP 地址與 API Gateway 網域名稱 IP 地址相符。

注意：

• 設定 Route 53 時，您必須建立公用託管區域或私有託管區域。針對具有您欲提供給使用者使用之資源的網際網路對向應用程式，請選擇公用託管區域。如需詳細資訊，請參閱使用託管區域。
• Route 53 會使用記錄來判斷您的網域流量路由到何處。別名記錄為 AWS 資源提供更簡單的 DNS 查詢，而 CNAME (非別名) 記錄可以將 DNS 查詢重新導向到 AWS 資源以外的地方。如需詳細資訊，請參閱選擇別名與非別名記錄。

---

相關資訊

將自訂網域名稱遷移至不同的 API 端點