Comment puis-je résoudre les erreurs de résolution DNS ou d’incompatibilité du certificat SSL pour mon nom de domaine personnalisé API Gateway ?

Lecture de 4 minute(s)
0

Je n'arrive pas à me connecter au nom de domaine personnalisé de mon API Gateway et je reçois des erreurs de résolution DNS ou d’incompatibilité du certificat SSL.

Résolution

Résoudre les erreurs de domaine personnalisé d'une API publique

Pour vous connecter à un nom de domaine personnalisé pour les API API Gateway publiques, vous devez configurer Amazon Route 53 pour acheminer le trafic vers un point de terminaison API Gateway.

Si vous ne mappez pas les enregistrements DNS du nom de domaine personnalisé au nom de domaine API Gateway correct, la connexion SSL échoue. Cela est dû au renvoi du certificat *.execute-api.<region>.amazonaws.com par défaut à la place du certificat SSL/TLS.

Pour vérifier si vous avez correctement mappé les enregistrements DNS, exécutez la commande suivante :

nslookup custom-domain-name

Remarque : Remplacez custom-domain-name par le nom de votre domaine personnalisé.

La sortie renvoie le nom de domaine API Gateway. Assurez-vous que le nom de domaine personnalisé correspond au nom de domaine API Gateway. Si vous utilisez un enregistrement d'alias Route 53 pour mapper votre DNS, la sortie renvoie l'adresse IP. Assurez-vous que l'adresse IP correspond à l'adresse IP du nom de domaine API Gateway.

Résoudre les erreurs de domaine personnalisé d’une API privée

Pour vous connecter à un nom de domaine personnalisé pour les API API Gateway privées, vous devez configurer Route 53 pour acheminer le trafic vers un nom DNS de point de terminaison de cloud privé virtuel (VPC).

Pour vérifier si l'enregistrement DNS mappé est correct, exécutez la commande suivante :

nslookup custom-domain-name

Remarque : Remplacez custom-domain-name par le nom de votre domaine personnalisé.

La sortie renvoie l'adresse IP privée du point de terminaison de VPC execute-api. Assurez-vous que l'adresse IP correspond à l'adresse IP du sous-réseau du point de terminaison de VPC que vous avez configuré avec votre API Gateway.

Vérifiez que vous avez créé une association d'accès au nom de domaine entre votre nom de domaine personnalisé et votre point de terminaison de VPC execute-api.

Pour vérifier si vous avez créé l'association d'accès au nom de domaine, exécutez la commande suivante :

curl https://custom-domain-name/resource-path

Remarque : Remplacez custom-domain-name par le nom de votre domaine personnalisé et resource-path par votre chemin de ressource.

Si vous avez créé l'association, la sortie renvoie la réponse depuis votre point de terminaison d'intégration. Si vous n'avez pas créé l'association, la connexion SSL échoue et le message d'erreur « SSL: no alternative certificate subject name matches target host name » (SSL : aucun nom de sujet de certificat alternatif ne correspond au nom de l'hôte cible) s'affiche.

Remarque : Lorsque vous configurez un nom de domaine personnalisé pour une API publique régionale ou optimisée pour la périphérie dans Route 53, vous devez créer une zone hébergée publique. Pour les applications publiques comprenant des ressources que vous souhaitez mettre à la disposition des utilisateurs, choisissez une zone hébergée publique.

Lorsque vous créez un domaine personnalisé pour une API privée, vous devez créer une zone hébergée privée et associer votre VPC client à la zone hébergée.

Route 53 utilise des enregistrements pour déterminer où vous souhaitez acheminer le trafic pour votre domaine. Vous pouvez, si vous le souhaitez, utiliser un enregistrement d'alias ou un enregistrement CNAME.

Informations connexes

Préparer vos certificats dans AWS Certificate Manager

Comment puis-je configurer un nom de domaine personnalisé pour mon API Gateway ?

Migrer un nom de domaine personnalisé vers un autre type de point de terminaison d'API dans API Gateway