# Habilitar a TLS mútua de origem para distribuições do CloudFront
<a name="origin-enable-mtls-distributions"></a>

Depois de obter um certificado de cliente por meio do AWS Certificate Manager e configurar o servidor de origem para exigir TLS mútua, você pode habilitar a mTLS de origem na distribuição do CloudFront.

## Pré-requisitos e requisitos
<a name="origin-mtls-prerequisites-requirements"></a>

Antes de habilitar a mTLS de origem em uma distribuição do CloudFront, você deve:
+ Um certificado de cliente armazenado no AWS Certificate Manager na região Leste dos EUA (Norte da Virgínia) (us-east-1).
+ Servidores de origem configurados para exigir a autenticação TLS mútua e validar certificados de cliente.
+ Servidores de origem que apresentem certificados de autoridades de certificação confiáveis publicamente.
+ Permissões para modificar distribuições do CloudFront.
+ A mTLS de origem só está disponível nos planos de preços Business, Premium ou Pagamento conforme o uso.

**nota**  
A mTLS de origem pode ser configurada para origens personalizadas (inclusive origens hospedadas fora da AWS) e origens da AWS que permitem TLS mútua, como o Application Load Balancer e o API Gateway.

**Importante**  
Os seguintes recursos do CloudFront não permitem mTLS de origem:  
**Tráfego gRPC:** não é possível usar o protocolo gRPC para origens com a mTLS de origem habilitada.
**Conexões WebSocket:** não é possível usar o protocolo WebSocket para origens com a mTLS de origem habilitada.
**Origens de VPC:** não é possível usar a mTLS de origem com origens de VPC.
**Acionadores de solicitação de origem e resposta de origem com o Lambda@Edge:** não é possível usar funções do Lambda@Edge nas posições de solicitação de origem e resposta de origem com a mTLS de origem.
**POPs incorporados:** não é possível usar a mTLS de origem para POPs incorporados.

## Habilitar a mTLS de origem
<a name="origin-enable-mtls-per-origin"></a>

A configuração por origem permite que especificar certificados de cliente diferentes para origens diferentes na mesma distribuição. Essa abordagem oferece flexibilidade máxima quando as origens têm requisitos de autenticação diferentes.

### Para novas distribuições (console)
<a name="origin-enable-mtls-new-distributions"></a>

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Escolha **Criar distribuição**.

1. Selecione um plano de preços: escolha **Business**, **Premium** ou **Pagamento conforme o uso** (a mTLS de origem não está disponível no plano gratuito).

1. Na seção de configurações de origem, escolha “Outro” em “Tipo de origem”.

1. Na seção **Configurações de origem**, selecione **Personalizar configurações de origem**.

1. Configure a primeira origem (nome de domínio, protocolo etc.).

1. Na configuração da origem, encontre **mTLS**.

1. Ative a **mTLS**.

1. Em **Certificado de cliente**, selecione seu certificado no AWS Certificate Manager.

1. (Opcional) Adicione outras origens com as respectivas configurações de mTLS de origem.

1. Conclua as configurações de distribuição restantes e escolha **Criar distribuição**.

### Para distribuições existentes (console)
<a name="origin-enable-mtls-existing-distributions"></a>

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Na lista de distribuição, selecione a distribuição a ser modificada. (Observação: sua distribuição deve estar em um plano de preços **Pro ou Premium ou Pagamento conforme o uso**. Do contrário, será necessário atualizar o plano de preços antes de habilitar a mTLS de origem).

1. Escolha a guia **Origens**.

1. Selecione a origem que você deseja configurar e escolha **Editar**.

1. Nas configurações de origem, encontre **mTLS**.

1. Ative a **mTLS**.

1. Em **Certificado de cliente**, selecione seu certificado no AWS Certificate Manager. [Observação: somente certificados de cliente com a propriedade EKU (uso estendido de chave) definida como “Autenticação de cliente TLS” serão listados.]

1. Selecione **Save changes** (Salvar alterações)

1. Repita o procedimento para as demais origens conforme necessário.

## Usar a AWS CLI
<a name="origin-enable-mtls-cli"></a>

Para configuração por origem, especifique as configurações de mTLS de origem na configuração de cada origem:

```
{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
```

**nota**  
O CloudFront não fornecerá o certificado de cliente se o servidor não o solicitar, permitindo que a conexão prossiga normalmente.

## Próximas etapas
<a name="origin-enable-mtls-next-steps"></a>

Após a habilitação da mTLS de origem na distribuição do CloudFront, é possível monitorar eventos de autenticação usando os logs de acesso do CloudFront.