我正在尝试直接从浏览器(特别是SNS服务)访问AWS服务。我希望能够直接将消息发布到sns主题,但是使用CNAME记录,以便我可以控制浏览器最终转到的区域(sns.mydomain.com-> sns.us-east-1.amazonaws.com | sns.eu-west-1.amazonaws.com(取决于请求者的地区)。
我的问题是,如果我向别名端点发出HTTPS请求,则返回的证书将不会被签名到我的端点,浏览器将拒绝使用它。虽然我可以仅通过发出HTTP请求来解决此问题,但浏览器将拒绝从安全来源(通过HTTPS服务的站点)发出HTTP请求。
是否可以按照我尝试的方式将CNAME指向AWS服务?
最终,我试图避免将浏览器中的客户端应用程序锁定到aws区域。
答案 0 :(得分:2)
是否可以按照我尝试的方式将CNAME指向AWS服务?
不。您正在使用https验证的一项主要功能,即证书的通用名称或SAN(使用者替代名称)必须与证书匹配。如果不是这样,HTTPS将无法验证服务器是否是他们声称的身份。
最终,我试图避免将浏览器中的客户端应用程序锁定到aws区域。
这是一个很好的目标。为何不在DNS层上这样做,为什么不创建提供要使用的一个或多个区域的终结点或配置设置呢?在某些故障似乎是区域中断的情况下,智能客户端甚至可以遍历区域,这比在区域出现故障时仍必须修复的CNAME更好。