我正在尝试直接从浏览器访问AWS服务,特别是SNS服务。我希望能够将消息直接发布到 sns 主题,但使用 CNAME 记录,以便我可以控制浏览器最终转到哪个区域(sns.mydomain.com -> sns.us-east-1.amazonaws.com | sns.eu-west-1.amazonaws.com,具体取决于请求者区域)。
我的问题是,如果我向别名端点发出 HTTPS 请求,返回的证书将不会签名到我的端点,浏览器将拒绝使用它。虽然我可以通过仅发出HTTP请求来解决此问题,但浏览器将拒绝从安全源(HTTPS上提供的网站)发出HTTP请求。
是否可以按照我尝试的方式让别名记录指向 AWS 服务?
最终,我试图避免将浏览器中的客户端应用程序锁定到 aws 区域。
是否可以按照我尝试的方式让别名记录指向 AWS 服务?
不。 您遇到了 https 验证的核心功能,即证书的公用名或 SAN(主题备用名称)必须与证书匹配。 如果不是这样,HTTPS就不会验证服务器是他们声称的人。
最终,我试图避免将浏览器中的客户端应用程序锁定到 aws 区域。
这是一个很好的目标。 与其在 DNS 层执行此操作,不如创建提供一个或多个区域使用的终结点或配置设置? 智能客户端甚至可以在某些故障(似乎是区域中断)的情况下遍历区域,这比在区域出现故障时仍必须修复的 CNAME 要好一些。