Come posso risolvere gli errori relativi ai certificati SSL generati da Gateway API?

Risoluzione

Testa l'integrazione del proxy HTTP

Utilizza la console Gateway API per testare i certificati SSL non validi. Per un elenco dei certificati SSL non validi, consulta badssl.com sul sito web Bad SSL.

Completa i seguenti passaggi:

1. Crea una risorsa denominata /selfsigned.
2. Crea un metodo GET per la risorsa.
3. Configura un'integrazione proxy HTTP con l'URL.
4. Apri la console Gateway API.
5. Testa l'API.
6. Ripeti ciascuno dei passaggi precedenti con una risorsa denominata /expiredcert e poi con un'altra risorsa denominata /untrustedRootCA.

Per la risorsa denominata /selfsigned, ricevi il seguente messaggio di errore:

"Thu Dec 15 16:05:05 UTC 2022 : Sending request to https://self-signed.badssl.com/
Thu Dec 15 16:05:05 UTC 2022 : Execution failed due to configuration error: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target"

Per la risorsa denominata /expiredcert, ricevi il seguente messaggio di errore:

"Thu Dec 15 16:06:02 UTC 2022 : Sending request to https://expired.badssl.com/
Thu Dec 15 16:06:02 UTC 2022 : Execution failed due to configuration error: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed"

Per la risorsa denominata /untrustedRootCA, ricevi il seguente messaggio di errore:

"Thu Dec 15 16:06:28 UTC 2022 : Sending request to https://untrusted-root.badssl.com/
Thu Dec 15 16:06:28 UTC 2022 : Execution failed due to configuration error: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target"

Risolvi gli errori di configurazione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Quando un Network Load Balancer ha un listener TLS, il Network Load Balancer esegue una terminazione TLS e crea un'altra connessione alla destinazione. Il certificato collegato al Network Load Balancer deve soddisfare tutti i requisiti.

Un Network Load Balancer non esegue la convalida del certificato durante l'handshake SSL con la destinazione. Network Load Balancer accetta certificati scaduti o autofirmati installati sulle istanze di destinazione. Il Network Load Balancer e i gruppi di destinazione sono collegati all'interno di un cloud privato virtuale (VPC). Se il Network Load Balancer utilizza un listener TCP, l'handshake TLS avviene end-to-end. In questo caso, l'applicazione backend deve soddisfare i requisiti SSL.

Gateway API supporta l'indicazione del nome del server (SNI) durante un handshake SSL sull'integrazione di un collegamento VPC.

Se il Network Load Balancer backend ha un certificato autofirmato o privato non emesso da un'autorità di certificazione (CA), ricevi il seguente messaggio di errore:

"Execution failed due to configuration error: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target"

Per risolvere il problema, esegui questo comando AWS CLI update-integration e imposta insecureSkipVerification su true nell'oggetto tlsConfig dell'integrazione:

aws apigateway update-integration --rest-api-id EXAMPLE-REST-API-ID --resource-id EXAMPLE-RESOURCE-ID --http-method GET --patch-operations "op='replace',path='/tlsConfig/insecureSkipVerification',value=true"

Nota: sostituisci EXAMPLE-REST-API-ID e EXAMPLE-RESOURCE-ID con i tuoi valori.

Informazioni correlate

Generazione e configurazione di un certificato SSL per l'autenticazione backend in Gateway API