Wie kann ich den API-Gateway-Fehler „Die Ausführung ist aufgrund eines Konfigurationsfehlers fehlgeschlagen: Allgemeines SSLEngine-Problem“ beheben?

Lesedauer: 2 Minute

Amazon API Gateway hat für meine API-Anfrage einen Fehler ähnlich dem folgenden zurückgegeben: „Die Ausführung ist aufgrund eines Konfigurationsfehlers fehlgeschlagen: Allgemeines SSLEngine-Problem“

Lösung

API-Gateway-API-Anfragen führen einen SSL-Handshake im Backend durch. Erfolgreiche API-Gateway-SSL-Handshakes müssen die folgenden Anforderungen beinhalten:

Eine unterstützte Zertifizierungsstelle

Die CA muss von API Gateway für HTTP-, HTTP-Proxy- und private Integrationen unterstützt werden. Führen Sie den folgenden OpenSSL-Befehl für Ihr Betriebssystem aus, um den CA-Fingerabdruck zu überprüfen:

Linux

openssl x509 -in cert.pem -fingerprint -sha256 -noout

openssl x509 -in cert.pem -fingerprint -sha1 -noout

Windows

openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt]

openssl x509 -noout -fingerprint -sha1 -inform pem -in [certificate-file.crt]

Ein gültiges ACM-Zertifikat, das nicht abgelaufen ist

Führen Sie den folgenden OpenSSL-Befehl aus, um das Ablaufdatum des Zertifikats zu überprüfen:

openssl x509 -in certificate.crt -text -noout

Prüfen Sie in der Ausgabe, ob der Gültigkeitszeitstempel gültig ist:

Validity
            Not Before: Apr 29 12:49:02 2020 GMT
            Not After : Apr 29 12:49:02 2021 GMT

In dieser Beispielausgabe ist das Zertifikat am 29. April 2020 gültig und läuft nach dem 29. April 2021 ab.

Ein gültiges CA-Zertifikat

Überprüfen Sie die CA-Zertifikatskonfiguration, indem Sie den folgenden OpenSSL-Befehl ausführen:

openssl s_client -connect example.com:443 -showcerts

Bestätigen Sie, dass:

Der Betreff des Zwischenprodukts und des Zertifikats stimmt mit dem Aussteller des Entitätszertifikats überein.
Der Betreff des Stammzertifikats entspricht den Ausstellern des Zwischenzertifikats.
Der Betreff und der Aussteller sind im Stammzertifikat identisch.

Ein Zertifikat, das 2048 Bit nicht überschreitet

Überprüfen Sie die Größe des Zertifikats, indem Sie den folgenden OpenSSL-Befehl ausführen:

openssl x509 -in badssl-com.pem -text -noout | grep -E '(Public-Key):'

Hinweis: Die Zertifikatsgröße darf 2048 Bit nicht überschreiten.

Wenn Ihr Zertifikat keine dieser Anforderungen erfüllt, aktualisieren Sie zuerst Ihre private CA. Stellen Sie anschließend mithilfe des AWS Certificate Manager (ACM) ein neues Zertifikat erneut aus.

Relevanter Inhalt

Behebung des Problems „Ausführung ist aufgrund eines Konfigurationsfehlers fehlgeschlagen: Fehler Ungültige Endpunktadresse“ vom API Gateway?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich die Fehler „Execution failed due to configuration error (Die Ausführung ist aufgrund eines Konfigurationsfehlers fehlgeschlagen): „Illegal character in path (Ungültiges Zeichen im Pfad)“ beim Erstellen einer API-Gateway-API mit einer Proxy-Ressource?
AWS OFFICIALAktualisiert vor 3 Jahren
Warum ist meine EC2-Windows-Instance aufgrund einer fehlgeschlagenen Instance-Statusprüfung ausgefallen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich eine AWS DMS-Aufgabe beheben, die aufgrund eines Fehlers bei der Verletzung einer Fremdschlüsselbeschränkung fehlgeschlagen ist?
AWS OFFICIALAktualisiert vor einem Jahr