Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilita Origin Mutual TLS per le distribuzioni CloudFront
<a name="origin-enable-mtls-distributions"></a>

Dopo aver ottenuto un certificato client tramite AWS Certificate Manager e aver configurato il server di origine per richiedere il TLS reciproco, puoi abilitare gli MTL di origine sulla tua distribuzione. CloudFront 

## Prerequisiti e requisiti
<a name="origin-mtls-prerequisites-requirements"></a>

Prima di abilitare gli MTL di origine su una CloudFront distribuzione, assicurati di avere:
+ Un certificato client archiviato in AWS Certificate Manager nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1)
+ Server di origine configurati per richiedere l'autenticazione TLS reciproca e convalidare i certificati client
+ Server di origine che presentano certificati emessi da autorità di certificazione pubblicamente attendibili
+ Autorizzazioni per modificare CloudFront le distribuzioni
+ Origin MTLs è disponibile solo con i piani tariffari Business, Premium o Pay as you go.

**Nota**  
Gli MTL di origine possono essere configurati per origini personalizzate (incluse le origini ospitate all'esterno AWS) e AWS origini che supportano TLS reciproco come Application Load Balancer e API Gateway.

**Importante**  
Le seguenti CloudFront funzionalità non sono supportate con gli MTL di origine:  
**Traffico gRPC: il protocollo gRPC** non è supportato per le origini con MTL di origine abilitati
**WebSocket connessioni:** il WebSocket protocollo non è supportato per le origini con MTL di origine abilitati
**Origini VPC:** gli MTL di origine non possono essere utilizzati con le origini VPC
**Trigger Origin Request e Origin Response con Lambda @Edge:** le funzioni Lambda @Edge nelle posizioni Origin Request e Origin Response non sono supportate con Origin MTL
**Incorporato POPs:** gli MTL di origine non sono supportati per quelli incorporati POPs

## Abilita gli MTL di origine
<a name="origin-enable-mtls-per-origin"></a>

La configurazione per origine consente di specificare certificati client diversi per origini diverse all'interno della stessa distribuzione. Questo approccio offre la massima flessibilità quando le origini hanno requisiti di autenticazione diversi.

### Per nuove distribuzioni (Console)
<a name="origin-enable-mtls-new-distributions"></a>

1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Scegli **Crea distribuzione**

1. Seleziona un piano tariffario: scegli **Business** o **Premium** o **Pay As You Go** (Origin MTLs non è disponibile nel piano gratuito)

1. Nella sezione Impostazioni Origin, scegli Origin Type as Other

1. Nella sezione **Impostazioni di origine**, scegli **Personalizza le impostazioni di origine**

1. Configura la tua prima origine (nome di dominio, protocollo, ecc.)

1. Nella configurazione di origine, trova **MTL**

1. **Attiva gli MTL**

1. Per **il certificato client**, seleziona il tuo certificato da AWS Certificate Manager

1. (Facoltativo) Aggiungi origini aggiuntive con le proprie configurazioni MTL di origine

1. **Completa le impostazioni di distribuzione rimanenti e scegli Crea distribuzione**

### Per le distribuzioni esistenti (Console)
<a name="origin-enable-mtls-existing-distributions"></a>

1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Dalla lista di distribuzione, seleziona la distribuzione che desideri modificare. (Nota: assicurati che la tua distribuzione includa un piano tariffario **Pro, Premium o Pay As You Go**. In caso contrario, è necessario aggiornare il piano tariffario prima di abilitare Origin (MTL)

1. Scegli la scheda **Origins**

1. Seleziona l'origine che desideri configurare e scegli **Modifica**

1. Nelle impostazioni di origine, trova **MTL**

1. **Attiva gli MTL**

1. Per **il certificato client**, seleziona il tuo AWS certificato da Certificate Manager. (Nota: verranno elencati solo i certificati client con la proprietà EKU (Extended Key Usage) impostata su «TLS Client Authentication»)

1. Scegliere **Salva modifiche**.

1. Ripetere l'operazione per altre origini, se necessario

## Utilizzo della AWS CLI
<a name="origin-enable-mtls-cli"></a>

Per la configurazione per origine, specifica le impostazioni MTLS di origine all'interno della configurazione di ciascuna origine:

```
{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
```

**Nota**  
CloudFront non fornirà il certificato client se il server non lo richiede, permettendo alla connessione di procedere normalmente.

## Fasi successive
<a name="origin-enable-mtls-next-steps"></a>

Dopo aver abilitato Origin MTL sulla vostra CloudFront distribuzione, potete monitorare gli eventi di autenticazione utilizzando i log di CloudFront accesso.