Служба CNAME to AWS - браузер не принимает сертификат

Question

Я пытаюсь получить доступ к сервису AWS напрямую из браузера, в частности к сервису SNS. Я хочу иметь возможность публиковать сообщения непосредственно в теме sns, но используя запись CNAME, чтобы я мог контролировать, в какой регион браузер в конечном итоге попадает (sns.mydomain.com -> sns.us-east-1.amazonaws.com | sns.eu-west-1.amazonaws.com в зависимости от региона запрашивающих).

Моя проблема заключается в том, что если я сделаю HTTPS-запрос к моей псевдонимной конечной точке, возвращенный сертификат не будет подписан на моей конечной точке, и браузер откажется работать с ним. И хотя я могу обойти это, делая только HTTP-запросы, браузер откажется делать HTTP-запрос из безопасного источника (сайт, обслуживаемый по HTTPS).

Можно ли указывать CNAME для службы AWS так, как я пытаюсь это сделать?

В конечном итоге я пытаюсь избежать блокировки клиентского приложения в браузере в области aws.

Answer 1

Можно ли указать CNAME на сервисе AWS так, как я пытаюсь это сделать?

Нет. Вы сталкиваетесь с центральной функцией проверки https, а именно: общее имя сертификата или SAN (Subject Alternative Name) должны соответствовать сертификату. Если бы это было не так, HTTPS не проверил бы, что сервер является тем, кем они себя называют.

В конечном итоге я стараюсь не блокировать клиентское приложение в браузере в области aws.

Это прекрасная цель. Вместо того, чтобы делать это на уровне DNS, почему бы не создать конечную точку или параметр конфигурации, который предоставляет регион или регионы для использования? Интеллектуальный клиент может даже выполнять итерации по регионам в случае некоторых сбоев, которые, по-видимому, являются региональными сбоями, что несколько лучше, чем CNAME, который вам все еще нужно исправить, когда регион отключается.