Regras mTLS no Cloudflare e Alternativas

O Cloudflare permite criar uma regra de mTLS para o meu site, mas apenas gerando um certificado de cliente, e não fazendo upload de um já existente. Não vi diferença em relação a isso para planos pagos ou gratuitos.

Me parece que CA privada só no nível Enterprise, aquele com preço personalizado, gerente de contas etc.

Aí inviabiliza para os meros mortais.

Sim, por isso se vê mais gente usando o API Gateway da AWS ou o mTLS proxy do @anoni_mato, mtls.pix.ae

Essas soluções podem ser usadas em paralelo ao Cloudflare?

Podem, basta que para o virtual de host usado para isso o proxy esteja desabilitado, por exemplo mtls.meusite.com.br.