パブリックサブネットで実行されている Application Load Balancer を介して、プライベートサブネットで実行されている ECS コンテナに AWS API Gateway 経由でトラフィックをルーティングしようとしています。プレーンな古い HTTP を使用すると、すべてが完全に正常に機能しますが、ゲートウェイとロード バランサー間の通信にトランスポート レイヤー セキュリティ (TLS、fka SSL) を追加したいと考えています。つまり、ロードバランサーで SSL を終端します。
- カスタム ドメイン名を構成し、既に HTTPS エンドポイントを公開しているゲートウェイで動作させています。
- ロード バランサーに HTTPS リスナーを構成しましたが、危険な証明書を持っていると叱られますが、直接ヒットしたときに警告を無視すると、サービスに正しくルーティングされます。したがって、ロード バランサのルーティングは正しいです。
- ゲートウェイをバランサーに向けようとすると、ゲートウェイが壊れます。さらに、us-east-1 リージョンにあるカスタム ドメイン名の証明書しか使用できないようです。現在、CloudWatch で次のエラーが発生して失敗しています (詳細はプライバシーのために隠されています)。
構成エラーが原因で実行に失敗しました: ホスト名 'XXXXXXXXX-lb-XXXXXXXXX..elb.amazonaws.com' がピア (CN=) によって提供された証明書サブジェクトと一致しません
ロードバランサーがus-east-1 リージョンにない場合、どうすれば目標を達成できますか?