别再只用IP访问了!给AWS EC2实例绑定域名并配置HTTPS的完整流程(从Route 53到证书管理器)
别再只用IP访问了!给AWS EC2实例绑定域名并配置HTTPS的完整流程(从Route 53到证书管理器)
当你成功在AWS上部署了EC2实例,用IP地址测试访问可能只是第一步。要让你的服务看起来更专业、更可信,绑定自定义域名并启用HTTPS加密是必不可少的步骤。本文将带你一步步完成从域名注册到HTTPS配置的全过程,无需额外付费(除了域名费用),全部使用AWS原生服务实现。
1. 为什么需要域名和HTTPS?
直接使用IP地址访问服务有几个明显的缺点:首先,IP地址难以记忆,不利于传播;其次,现代浏览器对未加密的HTTP连接会标记为"不安全",影响用户体验;最后,某些API和服务要求必须使用HTTPS连接。
AWS提供了一套完整的解决方案:
- Route 53:域名注册和管理服务
- ACM (AWS Certificate Manager):免费的SSL/TLS证书服务
- EC2 Security Groups:管理网络访问规则
这套组合不仅能提升专业性,还能增强安全性,而且AWS的证书管理服务完全免费,自动续期,省去了传统证书申请的繁琐流程。
2. 在Route 53中注册和管理域名
2.1 购买新域名
如果你还没有域名,可以直接在AWS Route 53中购买:
- 登录AWS控制台,导航到Route 53服务
- 在左侧菜单选择"注册域名"
- 输入你想要的域名并检查可用性
- 选择可用的域名加入购物车
- 填写注册信息(姓名、地址、联系方式等)
- 完成支付流程
注意:域名注册通常需要几分钟到几小时才能完全生效,这取决于域名后缀和注册局的处理速度。
2.2 配置DNS记录
域名注册完成后,需要设置DNS记录将域名指向你的EC2实例:
# 示例:创建一个A记录将example.com指向EC2实例的公有IP 1. 在Route 53控制台选择你的托管区域 2. 点击"创建记录" 3. 记录类型选择"A - IPv4地址" 4. 在值字段输入你的EC2实例公有IP 5. 设置TTL(默认300即可) 6. 保存记录对于生产环境,建议同时设置www子域名的记录:
| 记录类型 | 名称 | 值 | TTL |
|---|---|---|---|
| A | example.com | 12.34.56.78 | 300 |
| CNAME | www | example.com | 300 |
3. 申请免费的SSL/TLS证书
AWS Certificate Manager (ACM) 提供了免费的SSL证书,支持自动续期,非常适合EC2实例使用。
3.1 证书申请步骤
- 在AWS控制台导航到ACM服务
- 选择"请求证书"
- 选择"公有证书"
- 输入你的域名(如example.com)和通配符域名(如*.example.com)
- 选择验证方法(推荐DNS验证)
- 点击"请求"
3.2 验证域名所有权
对于DNS验证,ACM会提供一组CNAME记录,你需要将这些记录添加到Route 53中:
- 在ACM控制台找到待验证的证书
- 点击"在Route 53中创建记录"按钮(如果使用Route 53托管DNS)
- 确认记录创建
- 等待验证完成(通常几分钟内)
提示:通配符证书(*.example.com)可以保护所有子域名,减少后续管理工作量。
4. 配置EC2实例的安全组
要允许HTTPS流量访问你的实例,需要修改安全组规则:
- 在EC2控制台找到你的实例
- 查看关联的安全组
- 点击"编辑入站规则"
- 添加一条新规则:
- 类型:HTTPS
- 来源:0.0.0.0/0(或限制为特定IP范围)
- 端口范围:443
- 保存规则
安全组配置示例:
| 类型 | 协议 | 端口范围 | 来源 | 描述 |
|---|---|---|---|---|
| HTTP | TCP | 80 | 0.0.0.0/0 | Web访问 |
| HTTPS | TCP | 443 | 0.0.0.0/0 | 安全Web访问 |
| SSH | TCP | 22 | 你的办公IP | 管理访问 |
5. 在Web服务器中配置HTTPS
根据你使用的Web服务器软件(如Nginx、Apache等),配置方法略有不同。
5.1 Nginx配置示例
server { listen 80; server_name example.com www.example.com; return 301 https://$host$request_uri; } server { listen 443 ssl; server_name example.com www.example.com; ssl_certificate /etc/ssl/certs/example.com.crt; ssl_certificate_key /etc/ssl/private/example.com.key; # 其他配置... }5.2 Apache配置示例
<VirtualHost *:80> ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ </VirtualHost> <VirtualHost *:443> ServerName example.com ServerAlias www.example.com SSLEngine on SSLCertificateFile /etc/ssl/certs/example.com.crt SSLCertificateKeyFile /etc/ssl/private/example.com.key # 其他配置... </VirtualHost>6. 使用负载均衡器的高级配置(可选)
对于生产环境,建议使用Application Load Balancer (ALB)来管理HTTPS流量:
- 创建新的应用负载均衡器
- 在监听器中添加HTTPS协议
- 选择之前申请的ACM证书
- 将EC2实例添加为目标组
- 更新Route 53记录指向ALB的DNS名称
ALB的优势包括:
- 自动处理证书续期
- 提供更灵活的流量路由
- 支持基于主机的路由规则
- 内置健康检查功能
7. 测试与验证
完成所有配置后,进行以下测试确保一切正常工作:
- 访问http://example.com,确认会自动跳转到https://
- 检查浏览器地址栏的锁图标,确认证书有效
- 使用SSL Labs测试工具(https://www.ssllabs.com/ssltest/)检查配置安全性
- 测试所有子域名和页面,确保没有混合内容警告
常见问题排查:
- DNS解析问题:使用
dig example.com或nslookup example.com检查DNS记录 - 证书错误:确认证书包含所有使用的域名,且未过期
- 连接超时:检查安全组规则和网络ACL设置
8. 维护与监控
长期维护建议:
- 证书监控:虽然ACM会自动续期,但仍建议设置CloudWatch警报监控证书状态
- DNS健康检查:Route 53提供健康检查功能,可监控服务可用性
- 日志分析:启用ALB访问日志或EC2实例上的Web服务器日志分析
- 定期更新:保持操作系统和Web服务器软件更新到最新版本
在实际项目中,我发现最大的挑战往往不是技术实现,而是各个服务之间的权限配置。确保你的IAM角色有足够的权限操作Route 53、ACM和EC2服务,否则可能会遇到一些看似神秘的问题。