Pré-requisitos e requisitos Habilitar a TLS mútua (origem)Usar a AWS CLI Próximas etapas

Habilitar a TLS mútua (origem) para distribuições do CloudFront

Depois de obter um certificado de cliente por meio do AWS Certificate Manager e configurar o servidor de origem para exigir TLS mútua, você pode habilitar a TLS mútua (origem) na distribuição do CloudFront.

Pré-requisitos e requisitos

Antes de habilitar a TLS mútua (origem) em uma distribuição do CloudFront, é necessário ter:

Um certificado de cliente armazenado no AWS Certificate Manager na região Leste dos EUA (Norte da Virgínia) (us-east-1).
Servidores de origem configurados para exigir a autenticação TLS mútua e validar certificados de cliente.
Servidores de origem que apresentem certificados de autoridades de certificação confiáveis publicamente.
Permissões para modificar distribuições do CloudFront.
A TLS mútua (origem) só está disponível nos planos de preços Business, Premium ou Pagamento conforme o uso.

nota

A TLS mútua (origem) pode ser configurada para origens personalizadas (inclusive origens hospedadas fora da AWS) e origens da AWS que permitem TLS mútua, como o Application Load Balancer e o API Gateway.

Importante

Os seguintes recursos do CloudFront não permitem TLS mútua (origem):

Tráfego gRPC: não é possível usar o protocolo gRPC para origens com TLS mútua (origem) habilitada.
Conexões WebSocket: não é possível usar o protocolo WebSocket para origens com TLS mútua (origem) habilitada.
Origens de VPC: não é possível usar a TLS mútua (origem) com origens de VPC.
Acionadores de solicitação de origem e resposta de origem com o Lambda@Edge: não é possível usar funções do Lambda@Edge nas posições de solicitação de origem e resposta de origem com a TLS mútua (origem).
POPs incorporados: não é possível usar a TLS mútua (origem) para pontos de presença (POPs) incorporados.

Habilitar a TLS mútua (origem)

A configuração por origem permite que especificar certificados de cliente diferentes para origens diferentes na mesma distribuição. Essa abordagem oferece flexibilidade máxima quando as origens têm requisitos de autenticação diferentes.

Para novas distribuições (console)

Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.
Escolha Criar distribuição.
Selecione um plano de preços: escolha Business, Premium ou Pagamento conforme o uso [a TLS mútua (origem) não está disponível no plano gratuito].
Na seção de configurações de origem, escolha “Outro” em “Tipo de origem”.
Na seção Configurações de origem, selecione Personalizar configurações de origem.
Configure a primeira origem (nome de domínio, protocolo etc.).
Na configuração de origem, encontre TLS mútua (origem).
Ative a opção Habilitar TLS mútua (origem).
Em Certificado de cliente, selecione seu certificado no AWS Certificate Manager.
(Opcional) Adicione outras origens com as respectivas configurações de TLS mútua (origem).
Conclua as configurações de distribuição restantes e escolha Criar distribuição.

Para distribuições existentes (console)

Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.
Na lista de distribuição, selecione a distribuição a ser modificada. [Observação: sua distribuição deve estar em um plano de preços Pro ou Premium ou Pagamento conforme o uso. Do contrário, será necessário atualizar o plano de preços antes de habilitar a TLS mútua (origem).]
Escolha a guia Origens.
Selecione a origem que você deseja configurar e escolha Editar.
Nas configurações de origem, encontre TLS mútua (origem)
Ative a opção Habilitar TLS mútua (origem).
Em Certificado de cliente, selecione seu certificado no AWS Certificate Manager. [Observação: somente certificados de cliente com a propriedade EKU (uso estendido de chave) definida como “Autenticação de cliente TLS” serão listados.]
Selecione Save changes (Salvar alterações)
Repita o procedimento para as demais origens conforme necessário.

Usar a AWS CLI

Para configuração por origem, especifique as configurações de TLS mútua (origem) na configuração de cada origem:


{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}

nota

O CloudFront não fornecerá o certificado de cliente se o servidor não o solicitar, permitindo que a conexão prossiga normalmente.

Próximas etapas

Após a habilitação da TLS mútua (origem) na distribuição do CloudFront, é possível monitorar eventos de autenticação usando os logs de acesso do CloudFront.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de certificados com o AWS Certificate Manager

Usar o CloudFront Functions com a TLS mútua (origem)