Author Image

andyjss

Mar 2, 2023

Solução para ERRO ERR_TLS_CERT_ALTNAME_INVALID na API Gateway da AWS

ERR_TLS_CERT_ALTNAME_INVALIDAWSAPI GatewaycertificadodomínioGoogle DomainsRoute 53TLS mútuo

Fala galera! Baaaum? [REPOSTANDO]

Resolvi o erro ERR_TLS_CERT_ALTNAME_INVALID ao usar API Gateway da AWS.
Após assistir ao tutorial do @danielciolfi, fiz o mesmo procedimento com um domínio registrado externamente, no meu caso namecheap, mas ao tentar registrar a Webhook o erro ERR_TLS_CERT_ALTNAME_INVALID era retornado. Tentei de tudo, gerar novo certificado sem wildcard("."), refazer truststore.pem, gerar certificado direto no “api.” mas não funcionava. Percebi também que ao acessar diretamente pelo navegador, o certificado era sempre relacionado ao domínio principal, e nunca ao “api.”.

Ai lendo algumas soluções aqui no Discord, como a do Ranulfo souza, resolvi fazer da seguinte forma e resolveu:

0 - (Opcional) Antes de começar, recomendo apagar tudo que foi feito, exceto pela API Gateway e o truststore.pem gerado.
(Deletei o nome de domínio personalizado, removi os registros no namecheap e deletei os certificados criados);

1 - Comprar um domínio no Google Domains só para esse uso;
Domínio fictício para fins didáticos: pixok.com

2 - Na AWS, em Route 53, criar nova zona hospeda e no nome do domínio, inserir o domínio comprado (pixok.com) e criar zona;

3 – Ao navegar na zona criada, você vai ver o registro do tipo NS com os links, ai é só adicionar todos no Google Domains em Servidores de nome personalizados do seu domínio. Por padrão, o Google não usa os nomes personalizados, ai é só clicar em aplicar na aba Servidores de nome personalizados;

4 – Criar certificado com o nome api.pixok.com, navegar até o certificado, clicar em Criar registros no Route 53 e confirmar clicando em criar. Isso fará o certificado ser verificado;

5 – Após o certificado ser verificado, ir na API Gateway e criar nome de domínio personalizado com o nome api.pixok.com, selecionando o novo certificado. E também já configurar o mapeamento de API para sua API;

6 – Em Route 53, na zona hospedada, no domínio pixok.com, criar novo registro com as seguintes informações:
- Nome do registro: api
- Tipo de registro: A
- Ativar Alias
- Escolher endpoint para: Alias para API do API Gateway
- Escolher o servidor que você está trabalhando, no meu caso “us-east-1”
- E no terceiro campo que aparecer, já vai carregar automaticamente o
“Nome de domínio do API Gateway” que você encontra no domínio personalizado que criou.
Ai é só finalizar criando o registro e aguardar a propagação que pode levar alguns minutos, no meu caso levou mais de 5 minutos.

7 – Antes de ativar o TLS mútuo no domínio personalizado, eu fiz testes solicitando POST com o postman para api.pixok.com/prod/webhook até ter algum retorno, assim eu sei que toda configuração acima tá funcionando corretamente e foi propagado.

8 – Ativar TLS mútuo como feito anteriormente, aguardar o status ficar ativo e testar o registro da webhook com o seu link 😊


Obrigado Ranulfo souza e a todos que comentaram sobre o assunto. 👊

Respostas (3):
Avatar discord do usuario palloma_efi

palloma_efi

02/03/2023

Muito obrigada, @andyjss ! 👏🧡

Avatar discord do usuario carlosdamiao

carlosdamiao

14/10/2023

eu assisti a video aula dele e deu o mesmo erro, você passou algum token para a API saber que é AWS e a Efí se conectando, pq o meu ta dando 403

Avatar discord do usuario rubenskuhl

rubenskuhl

14/10/2023

O erro que ele descreveu foi o ERR_TLS_CERT_ALTNAME_INVALID, não HTTP 403...