# Usar nomes de domínio alternativos e HTTPS
<a name="using-https-alternate-domain-names"></a>

Se quiser usar seu nome de domínio nos URLs dos arquivos (por exemplo, `https://www.example.com/image.jpg`) e quiser que os visualizadores usem HTTPS, será necessário concluir as etapas dos tópicos a seguir. (Se você usar o nome de domínio de distribuição padrão do CloudFront nos seus URLs, por exemplo, `https://d111111abcdef8.cloudfront.net/image.jpg`, siga as orientações no tópico a seguir: [Exigir HTTPS na comunicação entre visualizadores e CloudFront](using-https-viewers-to-cloudfront.md).)

**Importante**  
Ao adicionar um certificado à sua distribuição, o CloudFront o propagará imediatamente para todos os pontos de presença. À medida que novos pontos de presença são disponibilizados, o CloudFront propaga o certificado para esses pontos também. Não é possível restringir os pontos de presença para os quais o CloudFront propaga os certificados.

**Topics**
+ [

# Escolher como o CloudFront atende a solicitações HTTPS
](cnames-https-dedicated-ip-or-sni.md)
+ [

# Requisitos para usar certificados SSL/TLS com o CloudFront
](cnames-and-https-requirements.md)
+ [

# Cotas no uso de certificados SSL/TLS com o CloudFront (somente HTTPS entre visualizadores e o CloudFront)
](cnames-and-https-limits.md)
+ [

# Configurar nomes de domínio alternativos e HTTPS
](cnames-and-https-procedures.md)
+ [

# Determinar o tamanho da chave pública em um certificado RSA SSL/TLS
](cnames-and-https-size-of-public-key.md)
+ [

# Aumentar as cotas de certificados SSL/TLS
](increasing-the-limit-for-ssl-tls-certificates.md)
+ [

# Trocar certificados SSL/TLS
](cnames-and-https-rotate-certificates.md)
+ [

# Reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront
](cnames-and-https-revert-to-cf-certificate.md)
+ [

# Alternar de um certificado SSL/TLS personalizado com endereços IP dedicados para SNI
](cnames-and-https-switch-dedicated-to-sni.md)

# Escolher como o CloudFront atende a solicitações HTTPS
<a name="cnames-https-dedicated-ip-or-sni"></a>

Se quiser que os visualizadores usem HTTPS e nomes de domínio alternativos para os arquivos, escolha uma das opções a seguir de como o CloudFront atende a solicitações HTTPS:
+ Usar a [indicação de nome de servidor (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication): recomendado
+ Use um endereço IP dedicado em cada ponto de presença

Esta seção explica como cada opção funciona.

## Usar SNI para atender a solicitações HTTPS (funciona para a maioria dos clientes)
<a name="cnames-https-sni"></a>

A [Indicação de nome de servidor (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar o CloudFront para atender a solicitações HTTPS usando SNI, ele associará seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP para o seu nome de domínio é determinado durante a negociação do handshake SSL/TLS. O endereço IP não é dedicado à sua distribuição.

A negociação SSL/TLS ocorre no início do processo de estabelecimento de uma conexão HTTPS. Se o CloudFront não conseguir determinar imediatamente qual é o domínio da solicitação, ele interromperá a conexão. Veja o que acontece quando um visualizador compatível com SNI envia uma solicitação HTTP para seu conteúdo:

1. O visualizador recebe automaticamente o nome de domínio do URL da solicitação e o adiciona à extensão SNI da mensagem de saudações ao cliente TLS.

1. Quando o CloudFront recebe a mensagem de saudações ao cliente TLS, ele usa o nome de domínio na extensão SNI para encontrar a distribuição correspondente do CloudFront e envia de volta o certificado TLS associado.

1. O visualizador e o CloudFront executam a negociação SSL/TLS.

1. O CloudFront retorna o conteúdo solicitado para o visualizador.

Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).

Se você quiser usar a SNI, mas o navegador de alguns dos seus usuário não forem compatíveis, há várias opções:
+ Configure o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, em vez de SNI. Para obter mais informações, consulte [Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)](#cnames-https-dedicated-ip).
+ Use o certificado SSL/TLS do CloudFront, em vez de um certificado personalizado. Isso requer o uso do nome de domínio do CloudFront da sua distribuição nos URLs dos seus arquivos, por exemplo, `https://d111111abcdef8.cloudfront.net/logo.png`.

  Se você usar o certificado padrão do CloudFront, os visualizadores deverão oferecer suporte ao protocolo SSL TLSv1 ou posterior. O CloudFront não oferece suporte a SSLv3 com o certificado padrão do CloudFront.

  Também é necessário alterar o certificado SSL/TLS usado pelo CloudFront de um certificado personalizado para o certificado padrão do CloudFront:
  + Se você não usou sua distribuição para distribuir o conteúdo, poderá simplesmente alterar a configuração. Para obter mais informações, consulte [Atualizar uma distribuição](HowToUpdateDistribution.md).
  + Caso contrário, será necessário criar uma distribuição do CloudFront e alterar os URLs dos seus arquivos para reduzir ou eliminar o tempo de indisponibilidade do conteúdo. Para obter mais informações, consulte [Reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront](cnames-and-https-revert-to-cf-certificate.md).
+ Se você puder controlar qual navegador seus usuários usam, peça que atualizem-no para um que seja compatível com SNI.
+ Use HTTP, em vez de HTTPS.

## Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)
<a name="cnames-https-dedicated-ip"></a>

A Indicação de Nome de Servidor (SNI) é uma maneira de associar uma solicitação a um domínio. Outra maneira é usar um endereço IP dedicado. Se tiver usuários que não podem fazer a atualização para um navegador ou cliente lançado após 2010, você poderá usar um endereço IP dedicado para atender a solicitações HTTPS. Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication). 

**Importante**  
Se você configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, será cobrado um adicional por mês. A cobrança começará quando você associar seu certificado SSL/TLS a uma distribuição e habilitar a distribuição. Para mais informações sobre os preços do CloudFront, consulte [Definição de preços do Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing). Além disso, consulte [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).

Ao configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, ele associará seu certificado a um endereço IP dedicado em cada local da borda. Veja o que acontece quando um visualizador envia uma solicitação HTTP para seu conteúdo:

1. O DNS roteia a solicitação para o endereço IP da sua distribuição no ponto de presença aplicável.

1. Se uma solicitação do cliente fornecer a extensão SNI na mensagem `ClientHello`, o CloudFront procurará uma distribuição associada a essa SNI.
   + Se houver correspondência, o CloudFront responderá à solicitação com o certificado SSL/TLS.
   + Se não houver correspondência, o CloudFront usa o endereço IP para identificar sua distribuição e determinar qual certificado SSL/TLS retornar para o visualizador.

1. O visualizador e o CloudFront executam uma negociação SSL/TLS usando seu certificado SSL/TLS.

1. O CloudFront retorna o conteúdo solicitado para o visualizador.

Este método funciona para todas as solicitações HTTPS, independentemente do navegador ou outro visualizador usado pelo usuário. 

**nota**  
IPs dedicados não são IPs estáticos e podem mudar com o tempo. O endereço IP que é retornado para o local da borda é alocado dinamicamente dos intervalos de endereços IP da [lista de servidores de borda do CloudFront](LocationsOfEdgeServers.md).  
Os intervalos de endereço IP para os servidores de borda do CloudFront estão sujeitos a alterações. Para receber uma notificação sobre as alterações de endereço IP, [assine as alterações de endereço IP público da AWS via Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).

## Solicitar permissão para usar três ou mais certificados SSL/TLS com IP dedicado
<a name="cnames-and-https-multiple-certificates"></a>

Se precisar de permissão para associar de forma permanente três ou mais certificados SSL/TLS com IP dedicado ao CloudFront, execute o procedimento a seguir. Para mais detalhes sobre solicitações HTTPS, consulte [Escolher como o CloudFront atende a solicitações HTTPS](#cnames-https-dedicated-ip-or-sni).

**nota**  
Esse procedimento serve para usar três ou mais certificados com IP dedicado em todas as suas distribuições do CloudFront. O valor padrão é 2. Lembre-se de que você não pode associar mais de um certificado SSL a uma distribuição.  
É possível associar somente um único certificado SSL/TLS a uma distribuição do CloudFront por vez. Esse número é para o total de certificados SSL com IP dedicado que podem ser usados em todas as suas distribuições do CloudFront.<a name="cnames-and-https-multiple-certificates-procedure"></a>

**Como solicitar permissão para usar três ou mais certificados com uma distribuição do CloudFront**

1. Acesse o [Support Center](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions) e crie um caso.

1. Indique quantos certificados você precisa de permissão para usar e descreva as circunstâncias na solicitação. Atualizaremos sua conta o mais rápido possível.

1. Vá para o próximo procedimento.

# Requisitos para usar certificados SSL/TLS com o CloudFront
<a name="cnames-and-https-requirements"></a>

Os requisitos para certificados SSL/TLS estão descritos neste tópico. Eles se aplicam a ambas as opções a seguir, exceto conforme observado:
+ Certificados para o uso de HTTPS entre visualizadores e o CloudFront 
+ Certificados para o uso de HTTPS entre o CloudFront e sua origem

**Topics**
+ [

## Emissor do certificado
](#https-requirements-certificate-issuer)
+ [

## Região da AWS para AWS Certificate Manager
](#https-requirements-aws-region)
+ [

## Formato do certificado
](#https-requirements-certificate-format)
+ [

## Certificados intermediários
](#https-requirements-intermediate-certificates)
+ [

## Tipo de chave
](#https-requirements-key-type)
+ [

## Chave privada
](#https-requirements-private-key)
+ [

## Permissões
](#https-requirements-permissions)
+ [

## Tamanho da chave do certificado
](#https-requirements-size-of-public-key)
+ [

## Tipos de certificados compatíveis
](#https-requirements-supported-types)
+ [

## Data de expiração e renovação do certificado
](#https-requirements-cert-expiration)
+ [

## Nomes de domínio na distribuição do CloudFront e no certificado
](#https-requirements-domain-names-in-cert)
+ [

## Versão mínima do protocolo SSL/TLS
](#https-requirements-minimum-ssl-protocol-version)
+ [

## Versões de HTTP compatíveis
](#https-requirements-supported-http-versions)

## Emissor do certificado
<a name="https-requirements-certificate-issuer"></a>

Recomendamos usar um certificado emitido pelo [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/). Para obter informações sobre como obter um certificado do ACM, consulte o *[Manual do usuário do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*. Para usar um certificado do ACM com uma distribuição do CloudFront, solicite (ou importe) o certificado na região Leste dos EUA (Norte da Virgínia) (`us-east-1`).

 O CloudFront é compatível com as mesmas autoridades de certificação (CAs) da Mozilla. Portanto, se você não usa o ACM, use um certificado emitido por uma CA na [Lista de certificados CA incluídos no Mozilla](https://wiki.mozilla.org/CA/Included_Certificates). 

Os certificados TLS usados pela origem que você especificou para sua distribuição do CloudFront também precisam ser emitidos pela CA na lista de certificados CA incluídos no Mozilla.

Para obter mais informações sobre como obter e instalar um certificado, consulte a documentação do software do servidor HTTP e a documentação da CA.

## Região da AWS para AWS Certificate Manager
<a name="https-requirements-aws-region"></a>

Para usar um certificado no AWS Certificate Manager (ACM) a fim de exigir HTTPS entre visualizadores e o CloudFront, solicite (ou importe) o certificado na região Leste dos EUA (Norte da Virgínia) (`us-east-1`).

Para exigir HTTPS entre o CloudFront e a origem se estiver usando um balanceador de carga no Elastic Load Balancing como origem, você poderá solicitar ou importar um certificado de qualquer Região da AWS.

## Formato do certificado
<a name="https-requirements-certificate-format"></a>

O certificado deve estar no formato X.509 PEM. Esse será o formato padrão se você estiver usando o AWS Certificate Manager.

## Certificados intermediários
<a name="https-requirements-intermediate-certificates"></a>

Se você estiver usando uma autoridade de certificação (CA) de terceiros, indique todos os certificados intermediários na cadeia existente no arquivo `.pem`, começando com um para a CA que assinou o certificado do seu domínio. Normalmente, é possível encontrar um arquivo no site da sua CA com os certificados raiz e intermediários na ordem adequada da cadeia.

**Importante**  
Não inclua o seguinte: o certificado raiz, certificados intermediários não presentes no caminho de relação de confiança nem o certificado de chave pública da sua CA.

Veja um exemplo abaixo:

```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```

## Tipo de chave
<a name="https-requirements-key-type"></a>

O CloudFront é compatível com pares de chaves RSA e ECDSA públicas/privadas.

O CloudFront oferece suporte a conexões HTTPS para visualizadores e origens usando certificados RSA e ECDSA. Com o [AWS Certificate Manager (ACM)](https://console.aws.amazon.com/acm), é possível solicitar e importar certificados RSA ou ECDSA e, em seguida, associá-los à sua distribuição do CloudFront.

Para obter as listas de criptografias RSA e ECDSA compatíveis com o CloudFront que você pode negociar em conexões HTTPS, consulte [Protocolos e cifras compatíveis entre visualizadores e o CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) e [Protocolos e criptografias compatíveis entre o CloudFront e a origem](secure-connections-supported-ciphers-cloudfront-to-origin.md).

## Chave privada
<a name="https-requirements-private-key"></a>

Se você estiver usando um certificado de uma autoridade de certificação (CA) terceirizada, observe: 
+ A chave privada deve ser correspondente à chave pública que está no certificado.
+ A chave privada deve estar no formato PEM.
+ A chave privada não pode ser criptografada com senha.

Se o AWS Certificate Manager (ACM) forneceu o certificado, ele não liberará a chave privada. A chave privada é armazenada no ACM para uso pelos serviços da AWS integrados a ele.

## Permissões
<a name="https-requirements-permissions"></a>

É necessário ter permissão para usar e importar o certificado SSL/TLS. Se você estiver usando o AWS Certificate Manager (ACM), recomendamos usar as permissões do AWS Identity and Access Management para restringir o acesso aos certificados. Para obter mais informações, consulte [Gerenciamento de identidade e acesso](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) no *Manual do usuário do AWS Certificate Manager*.

## Tamanho da chave do certificado
<a name="https-requirements-size-of-public-key"></a>

O tamanho de chave de certificado aceito pelo CloudFront depende dos tipos da chave e do certificado.

**Para certificados RSA:**  
O CloudFront é compatível com chaves RSA de 1.024 bits, 2.048 bits, 3.072 bits e 4.096 bits. O tamanho máximo de chave de um certificado RSA usado com o CloudFront é de 4.096 bits.  
 Observe que o ACM emite certificados RSA com chaves de até 2048 bits. Para usar um certificado RSA de 3.072 bits ou 4.096 bits, você precisa obter o certificado externamente e importá-lo para o ACM a fim de que ele esteja disponível para uso com o CloudFront.   
Para obter informações sobre como determinar o tamanho da chave RSA, consulte [Determinar o tamanho da chave pública em um certificado RSA SSL/TLS](cnames-and-https-size-of-public-key.md).

**Para certificados ECDSA:**  
O CloudFront é compatível com chaves de 256 bits. Para usar um certificado ECDSA no ACM para exigir HTTPS entre visualizadores e o CloudFront, use a curva elíptica prime256v1.

## Tipos de certificados compatíveis
<a name="https-requirements-supported-types"></a>

O CloudFront é compatível com todos os tipos de certificados emitidos por uma autoridade de certificação confiável.

## Data de expiração e renovação do certificado
<a name="https-requirements-cert-expiration"></a>

Se estiver usando certificados obtidos de uma autoridade de certificação (CA) de terceiros, você será responsável por monitorar as datas de validade e renovar os certificados importados para o AWS Identity and Access Management (ACM) ou carregá-los para o armazenamento de certificados do AWS Certificate Manager antes que eles expirem.

**Importante**  
Para evitar problemas de expiração do certificado, renove ou reimporte seu certificado pelo menos 24 horas antes do valor `NotAfter` especificado em seu certificado atual. Se seu certificado expirar dentro de 24 horas, solicite um novo certificado do ACM ou importe um novo certificado para o ACM. Em seguida, associe o novo certificado à distribuição do CloudFront.  
O CloudFront pode continuar usando o certificado anterior enquanto a renovação ou reimportação estiver em andamento. Como esse processo é assíncrono, pode levar até 24 horas para o CloudFront mostrar suas alterações.

Se você estiver usando certificados fornecidos pelo ACM, ele gerenciará as renovações. Para obter mais informações, consulte [Renovação gerenciada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) no *Guia do usuário do AWS Certificate Manager*.

## Nomes de domínio na distribuição do CloudFront e no certificado
<a name="https-requirements-domain-names-in-cert"></a>

Quando você usa uma origem personalizada, o certificado SSL/TLS na sua origem incluirá um nome de domínio no campo **Common Name** (Nome comum) e, possivelmente, vários outros no campo **Subject Alternative Names** (Nomes alternativos do sujeito). (O CloudFront oferece suporte a caracteres curinga em nomes de domínio de certificados.) 

Um dos nomes de domínio do certificado deve ser correspondente ao nome de domínio especificado em "Origin Domain Name". Se nenhum nome de domínio corresponder, o CloudFront retornará um código de status HTTP `502 (Bad Gateway)` para o visualizador.

**Importante**  
Ao adicionar um nome de domínio alternativo a uma distribuição, o CloudFront verifica se o nome de domínio alternativo está coberto pelo certificado que foi anexado. O certificado deve abranger o nome de domínio alternativo no campo de nome alternativo de assunto (SAN) do certificado. Isso significa que o campo SAN deve conter uma correspondência exata para o nome de domínio alternativo ou conter um curinga no mesmo nível do nome de domínio alternativo que você está adicionando.  
Para obter mais informações, consulte [Requisitos para o uso de nomes de domínio alternativos](CNAMEs.md#alternate-domain-names-requirements).

## Versão mínima do protocolo SSL/TLS
<a name="https-requirements-minimum-ssl-protocol-version"></a>

Se estiver usando endereços IP dedicados, defina a versão mínima do protocolo SSL/TLS para a conexão entre os visualizadores e o CloudFront escolhendo uma política de segurança.

Para obter mais informações, consulte [Política de segurança (versão mínima de SSL/TLS)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) no tópico [Referência de configurações de todas as distribuições](distribution-web-values-specify.md).

## Versões de HTTP compatíveis
<a name="https-requirements-supported-http-versions"></a>

Se você associar um certificado a mais de uma distribuição do CloudFront, todas as distribuições associadas ao certificado deverão usar a mesma opção para [Versões de HTTP compatíveis](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions). Especifique essa opção ao criar ou atualizar uma distribuição do CloudFront.

# Cotas no uso de certificados SSL/TLS com o CloudFront (somente HTTPS entre visualizadores e o CloudFront)
<a name="cnames-and-https-limits"></a>

Observe as cotas a seguir para o uso de certificados SSL/TLS com o CloudFront. Essas cotas aplicam-se somente a certificados SSL/TLS provisionados usando o AWS Certificate Manager (ACM), importados para o ACM ou carregados no armazenamento de certificados do IAM para a comunicação HTTPS entre visualizadores e o CloudFront.

Para obter mais informações, consulte [Aumentar as cotas de certificados SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md).

**Número máximo de certificados por distribuição do CloudFront**  
É possível associar, no máximo, um certificado SSL/TLS a cada distribuição do CloudFront.

**Número máximo de certificados que podem ser importados para o ACM ou carregados no armazenamento de certificados do IAM**  
Se você obteve os certificados SSL/TLS de uma CA de terceiros, deverá armazená-los em um dos seguintes locais:  
+ **AWS Certificate Manager**: para obter a cota atual para o número de certificados do ACM, consulte [Cotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) no *Guia do usuário do AWS Certificate Manager*. A cota informada é um total que inclui os certificados provisionados usando o ACM e os certificados importados para o ACM.
+ **Armazenamento de certificados do IAM**: para obter a cota atual (anteriormente conhecida como limite) sobre o número de certificados que podem ser carregados no armazenamento de certificados do IAM para uma conta da AWS, consulte [Limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do IAM*. É possível solicitar um aumento de cotas no console do Service Quotas.

**Número máximo de certificados por conta da AWS (somente endereços IP dedicados)**  
Se você quiser atender a solicitações HTTPS usando endereços IP dedicados, observe:  
+ Por padrão, o CloudFront concede permissão para usar dois certificados com sua conta da AWS: um para uso diário e um para quando você precisar alternar certificados para várias distribuições.
+ Se precisar de mais de dois certificados SSL/TLS personalizados para a conta da AWS, solicite uma cota maior no console do Service Quotas.

**Usar o mesmo certificado para distribuições do CloudFront criadas com diferentes contas da AWS**  
Se estiver usando uma CA de terceiros e quiser usar o mesmo certificado com várias distribuições do CloudFront criadas usando diferentes contas da AWS, você deverá importar o certificado para o ACM ou fazer upload dele no armazenamento de certificados do IAM de cada conta da AWS.  
Se estiver usando certificados fornecidos pelo ACM, você não poderá configurar o CloudFront para usar os certificados criados por outra conta da AWS.

**Usar o mesmo certificado para o CloudFront e para outros serviços da AWS**  
Se você comprou um certificado de uma autoridade de certificação confiável, como Comodo, DigiCert ou Symantec, poderá usar o mesmo certificado para o CloudFront e para outros serviços da AWS. Se estiver importando o certificado para o ACM, precisará fazê-lo somente uma vez para usá-lo com vários serviços da AWS.  
Se estiver usando certificados fornecidos pelo ACM, eles serão armazenados nele.

**Usar o mesmo certificado para várias distribuições do CloudFront**  
É possível usar o mesmo certificado para uma ou todas as distribuições do CloudFront que você estiver usando para atender a solicitações HTTPS. Observe o seguinte:  
+ Você pode usar o mesmo certificado para atender a solicitações usando endereços IP dedicados e a SNI. 
+ Você pode associar apenas um certificado a cada distribuição.
+ Cada distribuição deve incluir um ou mais nomes de domínio alternativos que também aparecem no campo **Common Name (Nome comum)** ou **Subject Alternative Names (Nomes alternativos de assunto)** do certificado.
+ Se atende a solicitações HTTPS usando endereços IP dedicados e criou todas as suas distribuições usando a mesma conta da AWS, poderá reduzir significativamente seus custos usando o mesmo certificado para todas as distribuições. O CloudFront cobra por certificado, não por distribuição. 

  Por exemplo, imagine que você criou três distribuições usando a mesma conta da AWS e usa o mesmo certificado para todas elas. Você será cobrado apenas uma taxa pelo uso de endereços IP dedicados.

  No entanto, se você atende a solicitações HTTPS usando endereços IP dedicados e o mesmo certificado para criar distribuições do CloudFront em diferentes contas da AWS, a taxa pelo uso de endereços IP dedicados é cobrada de cada conta. Por exemplo, se você criar três distribuições usando três contas diferentes da AWS e usar o mesmo certificado para todas as distribuições, será cobrada a taxa total pelo uso de endereços IP dedicados de cada conta.

# Configurar nomes de domínio alternativos e HTTPS
<a name="cnames-and-https-procedures"></a>

Para usar nomes de domínio alternativos nos URLs dos seus arquivos e usar HTTPS entre os visualizadores e o CloudFront, execute os procedimentos aplicáveis.

**Topics**
+ [

## Receber um certificado SSL/TLS
](#cnames-and-https-getting-certificates)
+ [

## Importar um certificado SSL/TLS
](#cnames-and-https-uploading-certificates)
+ [

## Atualizar a distribuição do CloudFront
](#cnames-and-https-updating-cloudfront)

## Receber um certificado SSL/TLS
<a name="cnames-and-https-getting-certificates"></a>

Obtenha um certificado SSL/TLS, se você ainda não tiver um. Para obter mais informações, consulte a documentação aplicável:
+ Para usar um certificado fornecido pelo AWS Certificate Manager (ACM), consulte o [Guia do usuário do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). Em seguida, vá para [Atualizar a distribuição do CloudFront](#cnames-and-https-updating-cloudfront).
**nota**  
É recomendável usar o ACM para provisionar, gerenciar e implantar os certificados SSL/TLS nos recursos gerenciados da AWS. Você deve solicitar um certificado ACM na região Leste dos EUA (Norte da Virgínia).
+ Para obter um certificado de uma autoridade de certificação (CA) terceirizada, consulte a documentação fornecida por ela. Se você tiver o certificado, continue no próximo procedimento.

## Importar um certificado SSL/TLS
<a name="cnames-and-https-uploading-certificates"></a>

Se você obteve seu certificado de uma CA de terceiros, importe-o para o ACM ou faça upload dele no armazenamento de certificados do IAM:

**ACM (recomendado)**  
O ACM permite importar certificados de terceiros pelo console do ACM, bem como de forma programática. Para obter informações sobre como importar um certificado para o ACM, consulte [Importação de certificados no AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Guia do usuário do AWS Certificate Manager*. Você deve importar o certificado na região Leste dos EUA (Norte da Virgínia).

**Armazenamento de certificados do IAM**  
(Não recomendado) Use o comando da AWS CLI a seguir para carregar o certificado de terceiros no armazenamento de certificados do IAM.  

```
aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/
```
Observe o seguinte:  
+ **Conta da AWS**: é necessário fazer upload do certificado no armazenamento de certificados do IAM com a mesma conta da AWS usada para criar sua distribuição do CloudFront.
+ **Parâmetro --path**: ao fazer upload do certificado no IAM, o valor do parâmetro `--path` (caminho do certificado) deve começar com `/cloudfront/`, por exemplo, `/cloudfront/production/` ou `/cloudfront/test/`. O caminho deve terminar com "/".
+ **Certificados existentes**: é necessário especificar valores para os parâmetros `--server-certificate-name` e `--path` diferentes dos valores associados aos certificados existentes.
+ **Uso do console do CloudFront**: o valor especificado para o parâmetro `--server-certificate-name` na AWS CLI, por exemplo, `myServerCertificate`, aparece na lista **SSL Certificate** (Certificado SSL) no console do CloudFront.
+ **Uso da API do CloudFront**: anote a string alfanumérica retornada pela AWS CLI. Por exemplo, `AS1A2M3P4L5E67SIIXR3J`. Esse é o valor especificado no elemento `IAMCertificateId`. O ARN do IAM, que também é retornado pela CLI, não é necessário.
Para obter mais informações sobre a AWS CLI, consulte o [Guia do usuário da AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) e a [Referência de comandos da AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/).

## Atualizar a distribuição do CloudFront
<a name="cnames-and-https-updating-cloudfront"></a>

Para atualizar as configurações da sua distribuição, execute o seguinte procedimento:<a name="cnames-and-https-updating-cloudfront-procedure"></a>

**Como configurar sua distribuição do CloudFront para nomes de domínio alternativos**

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Escolha o ID da distribuição que você deseja atualizar.

1. Na guia **General**, escolha **Edit**.

1. Atualize os seguintes valores:  
**Nome de domínio alternativo (CNAMEs)**  
Selecione **Add item** (Adicionar item) para adicionar os nomes de domínio alternativos aplicáveis. Separe os nomes de domínio com vírgulas ou digite cada nome de domínio em uma nova linha.  
**Certificado SSL personalizado**  
Selecione um certificado na lista suspensa.  
Até 100 certificados estão listados aqui. Se você tiver mais de 100 certificados e não estiver visualizando o certificado que quer adicionar, digite um ARN de certificado no campo para escolhê-lo.  
Se você fez o upload de um certificado para o armazenamento de certificados do IAM, mas ele não está listado e você não puder escolhê-lo digitando o nome no campo, revise o procedimento [Importar um certificado SSL/TLS](#cnames-and-https-uploading-certificates) para verificar se você carregou corretamente o certificado.   
Depois que associar seu certificado SSL/TLS à sua distribuição do CloudFront, não o exclua do ACM nem do armazenamento de certificados do IAM enquanto não removê-lo de todas as distribuições e todas as distribuições sejam implantadas.

1. Escolha **Save changes**.

1. Configurar o CloudFront para exigir HTTPS entre visualizadores e o CloudFront:

   1. Na guia **Behaviors**, escolha o comportamento de cache que você deseja atualizar e, em seguida, escolha **Edit**.

   1. Especifique um dos seguintes valores para **Viewer Protocol Policy**:  
**Redirect HTTP to HTTPS**  
Os visualizadores podem usar os dois protocolos, mas solicitações HTTP são automaticamente redirecionadas para HTTPS. O CloudFront retorna o código de status HTTP `301 (Moved Permanently)` junto com o novo URL de HTTPS. Depois, o visualizador reenvia a solicitação para o CloudFront usando o URL de HTTPS.  
O CloudFront não redireciona solicitações `DELETE`, `OPTIONS`, `PATCH`, `POST` ou `PUT` de HTTP para HTTPS. Se você configurar um comportamento de cache para redirecionar para HTTPS, o CloudFront responderá a solicitações HTTP `DELETE`, `OPTIONS`, `PATCH`, `POST` ou `PUT` desse comportamento de cache com o código de status HTTP `403 (Forbidden)`.
Quando um visualizador faz uma solicitação HTTP que é redirecionada para uma solicitação HTTPS, o CloudFront cobra pelas duas solicitações. Para a solicitação HTTP, a cobrança é somente pela solicitação e cabeçalhos retornados pelo CloudFront para o visualizador. Para a solicitação HTTPS, a cobrança é pela solicitação e pelos cabeçalhos e arquivo retornados por sua origem.  
**HTTPS Only**  
Os visualizadores só podem acessar seu conteúdo se estiverem usando HTTPS. Se um visualizador enviar uma solicitação HTTP, em vez de HTTPS, o CloudFront retornará o código de status HTTP `403 (Forbidden)` e não retornará o arquivo.

   1. Escolha **Yes, Edit**.

   1. Repita as etapas "a" a "c" para cada comportamento de cache adicional para o qual você deseja exigir HTTPS entre os visualizadores e o CloudFront.

1. Antes de usar a configuração atualizada em um ambiente de produção, confirme:
   + Se o padrão de caminho de cada comportamento de cache se aplica apenas às solicitações nas quais os visualizadores devem usar HTTPS.
   + Se os comportamentos de cache estão listados na ordem em que você deseja que o CloudFront os avalie. Para obter mais informações, consulte [Padrão de caminho](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + Se os comportamentos de cache estão roteando as solicitações para as origens corretas. 

# Determinar o tamanho da chave pública em um certificado RSA SSL/TLS
<a name="cnames-and-https-size-of-public-key"></a>

Ao usar nomes de domínio alternativos do CloudFront e HTTPS, o tamanho máximo da chave pública em um certificado RSA SSL/TLS é de 4.096 bits. (Esse é o tamanho da chave, e não é o número de caracteres da chave pública.) Se você usa o AWS Certificate Manager para os certificados, embora o ACM seja compatível com chaves RSA maiores, não é possível usar as chaves maiores com o CloudFront.

Você pode determinar o tamanho da chave pública RSA executando o seguinte comando OpenSSL:

```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout 
```

Onde:
+ `-in` especifica o caminho e nome do arquivo do certificado RSA SSL/TLS.
+ `-text` faz com que o OpenSSL exiba o tamanho da chave pública RSA em bits.
+ `-noout` impede que o OpenSSL exiba a chave pública.

Exemplos de resultado:

```
Public-Key: (2048 bit)
```

# Aumentar as cotas de certificados SSL/TLS
<a name="increasing-the-limit-for-ssl-tls-certificates"></a>

Há cotas para o número de certificados SSL que você pode importar para o AWS Certificate Manager (ACM) ou dos quais fazer upload para o AWS Identity and Access Management (IAM). Também há uma cota para o número de certificados SSL/TLS que podem ser usados com uma Conta da AWS ao configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados. No entanto, você pode solicitar cotas mais altas.

**Topics**
+ [

## Aumentar a cota de certificados importados para o ACM
](#certificates-to-import-into-acm)
+ [

## Aumentar a cota de certificados carregados para o IAM
](#certificates-to-upload-into-iam)
+ [

## Aumentar a cota de certificados usados com endereços IP dedicados
](#certificates-using-dedicated-ip-address)

## Aumentar a cota de certificados importados para o ACM
<a name="certificates-to-import-into-acm"></a>

Para obter a cota do número de certificados que podem ser importados para o ACM, consulte [Cotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) no *Guia do usuário do AWS Certificate Manager*.

Para solicitar aumento de cota, use o console do Service Quotas. Para obter mais informações, consulte [Solicitar um aumento de cota no ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guia do usuário do Service Quotas.**.

## Aumentar a cota de certificados carregados para o IAM
<a name="certificates-to-upload-into-iam"></a>

Para saber a cota (anteriormente conhecida como limite) sobre o número de certificados que podem ser carregados no IAM, consulte [Limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do IAM*.

Para solicitar aumento de cota, use o console do Service Quotas. Para obter mais informações, consulte [Solicitar um aumento de cota no ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guia do usuário do Service Quotas.**.

## Aumentar a cota de certificados usados com endereços IP dedicados
<a name="certificates-using-dedicated-ip-address"></a>

Em relação à cota do número de certificados SSL que podem ser usados para cada Conta da AWS ao atender a solicitações HTTPS usando endereços IP dedicados, consulte [Cotas para certificados SSL](cloudfront-limits.md#limits-ssl-certificates).

Para solicitar aumento de cota, use o console do Service Quotas. Para obter mais informações, consulte [Solicitar um aumento de cota no ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guia do usuário do Service Quotas.**.

# Trocar certificados SSL/TLS
<a name="cnames-and-https-rotate-certificates"></a>

Quando os certificados SSL/TLS estão próximos da expiração, você precisa alterná-los para garantir a segurança da distribuição e evitar a interrupção do serviço para os visualizadores. Você pode alterná-los das seguintes maneiras:
+ Não é necessário alternar os certificados SSL/TLS fornecidos pelo AWS Certificate Manager (ACM). O ACM gerencia *automaticamente* as renovações dos certificados para você. Consulte mais informações em [Managed certificate renewal](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) no *Guia do usuário do AWS Certificate Manager*.
+ Se estiver usando uma autoridade de certificação de terceiros e tiver importado certificados para o ACM (recomendado) ou feito upload desses certificados no armazenamento de certificados do IAM, ocasionalmente, será necessário substituir um certificado por outro.

  

**Importante**  
O ACM não gerencia as renovações de certificados adquiridos de autoridades de certificação de terceiros e importados para o ACM.
Se tiver configurado o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, você poderá receber uma cobrança adicional proporcional pelo uso de um ou mais certificados adicionais ao alterná-los. Recomendamos que você atualize suas distribuições para reduzir o custo adicional.

## Trocar certificados SSL/TLS
<a name="rotate-ssl-tls-certificate"></a>

Para alternar os certificados, execute o procedimento a seguir. Os visualizadores podem continuar acessando seu conteúdo enquanto você alterna os certificados e após a conclusão do processo.<a name="rotate-ssl-tls-certificates-proc"></a>

**Para alternar certificados SSL/TLS**

1. [Aumentar as cotas de certificados SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md) para determinar se você precisa de permissão para usar mais certificados SSL. Em caso afirmativo, solicite permissão e aguarde a concessão antes de continuar na etapa 2.

1. Importar o novo certificado para o ACM ou fazer upload dele no IAM. Para obter mais informações, consulte [Importar um certificado SSL/TLS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) no *Guia do desenvolvedor do Amazon CloudFront*.

1. (Somente para certificados do IAM) Atualize as distribuições individualmente para usar o novo certificado. Para obter mais informações, consulte [Atualizar uma distribuição](HowToUpdateDistribution.md).

1. (Opcional) Exclua o certificado anterior do ACM ou do IAM.
**Importante**  
Não exclua um certificado SSL/TLS enquanto não os remover de todas as distribuições e o status das distribuições atualizadas não for alterado para `Deployed`.

# Reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront
<a name="cnames-and-https-revert-to-cf-certificate"></a>

Se configurou o CloudFront para usar HTTPS entre visualizadores e o CloudFront e configurou o CloudFront para usar um certificado SSL/TLS personalizado, você poderá alterar sua configuração para usar o certificado SSL/TLS padrão do CloudFront. O processo dependerá se você já tiver usado ou não a distribuição para distribuir seu conteúdo:
+ Se você não usou sua distribuição para distribuir o conteúdo, poderá simplesmente alterar a configuração. Para obter mais informações, consulte [Atualizar uma distribuição](HowToUpdateDistribution.md).
+ Caso contrário, será necessário criar uma distribuição do CloudFront e alterar os URLs dos seus arquivos para reduzir ou eliminar o tempo de indisponibilidade do conteúdo. Para fazer isso, execute o procedimento a seguir.

## Reverter para o certificado padrão do CloudFront
<a name="revert-default-cloudfront-certificate"></a>

O procedimento a seguir mostra como reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront.<a name="cnames-and-https-revert-to-cf-certificate-proc"></a>

**Como reverter para o certificado padrão do CloudFront**

1. Crie uma distribuição do CloudFront com a configuração desejada. Em **SSL Certificate (Certificado SSL)**, escolha **Default CloudFront Certificate (Certificado padrão do CloudFront) (\$1.cloudfront.net)**. 

   Para obter mais informações, consulte [Criar uma distribuição](distribution-web-creating-console.md).

1. Para arquivos sendo distribuídos usando o CloudFront, atualize os URLs na aplicação para usar o nome de domínio atribuído pelo CloudFront à nova distribuição. Por exemplo, altere `https://www.example.com/images/logo.png` para `https://d111111abcdef8.cloudfront.net/images/logo.png`.

1. Exclua a distribuição associada a um certificado SSL/TLS personalizado ou atualize-a para alterar o valor de **SSL Certificate (Certificado SSL)** para **Default CloudFront Certificate (Certificado padrão do CloudFront) (\$1.cloudfront.net)**. Para obter mais informações, consulte [Atualizar uma distribuição](HowToUpdateDistribution.md).
**Importante**  
Enquanto você não concluir essa etapa, a AWS continuará cobrando pelo uso de um certificado SSL/TLS personalizado.

1. (Opcional) Exclua seu certificado SSL/TLS personalizado.

   1. Execute o comando AWS CLI da `list-server-certificates` para obter o ID do certificado que você deseja excluir. Para obter mais informações, consulte [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html) na *Referência de comandos da AWS CLI*.

   1. Execute o comando `delete-server-certificate` da AWS CLI para excluir o certificado. Para ter mais informações, consulte [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html) na *Referência de comandos da AWS CLI*.

# Alternar de um certificado SSL/TLS personalizado com endereços IP dedicados para SNI
<a name="cnames-and-https-switch-dedicated-to-sni"></a>

Se configurou o CloudFront para usar um certificado SSL/TLS personalizado com endereços IP dedicados, você poderá alternar para um certificado SSL/TLS personalizado com SNI e eliminar a cobrança associada a endereços IP dedicados.

**Importante**  
Essa atualização na configuração do CloudFront não afeta os visualizadores que oferecem suporte à SNI. Os visualizadores podem acessar seu conteúdo antes e depois da alteração, bem como enquanto a alteração está se propagando para pontos de presença do CloudFront. Os visualizadores não compatíveis com SNI não podem acessar seu conteúdo após a alteração. Para obter mais informações, consulte [Escolher como o CloudFront atende a solicitações HTTPS](cnames-https-dedicated-ip-or-sni.md). 

## Alternar do certificado personalizado para SNI
<a name="cloudfront-switch-custom-cert-sni"></a>

O procedimento a seguir mostra como alternar de um certificado SSL/TLS personalizado com endereços IP dedicados para SNI.<a name="cnames-and-https-switch-dedicated-to-sni-proc"></a>

**Para alternar de um certificado SSL/TLS personalizado com endereços IP dedicados para SNI**

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Escolha o ID da distribuição que você deseja visualizar ou atualizar.

1. Escolha **Distribution Settings**.

1. Na guia **General**, escolha **Edit**.

1. Em **Certificação SSL personalizada: *opcional***, desmarque **Suporte a clientes legados**.

1. Escolha **Yes, Edit**.