Cloudflareで簡単設定！sslをwith cloudflareで安全に運用する方法

はじめに

目的

この章では、本書の目的と対象読者、扱う内容の全体像をやさしく説明します。Cloudflareを使ってウェブサイトのSSL/TLSを設定し、HTTPSで安全に運用するための考え方と手順を段階的に学べます。

誰に向けているか

初心者から中級者を想定しています。専門用語は最小限にし、具体例を交えて丁寧に解説します。サーバー管理の経験が浅い方でも、手順に沿えば設定できるようにします。

本書で学べること

• Cloudflareの無料SSLを有効にする方法
• ドメインの追加とDNS設定の基本
• ネームサーバー切り替えの流れ
• CloudflareのSSLモードの違いと選び方
• Origin（自分のサーバー）側の証明書利用やHTTPSリダイレクト設定
  各章で実際の操作手順と注意点を順を追って説明します。

前提条件と注意点

本書では、ドメイン名とCloudflareアカウントを用意済みであることを前提とします。操作は慎重に行ってください。必要に応じてバックアップを取ることをおすすめします。

CloudflareでSSL/TLSを有効化する全体の流れ

全体の流れ（短いステップ）

1. ドメインをCloudflareに追加します。Cloudflareアカウントで「サイトを追加」し、画面の案内に沿って進めます。
2. DNSレコードを確認・必要に応じて追加します。AやCNAME、MXなど重要なレコードが正しく登録されているか確認します。
3. ネームサーバーをCloudflare指定に変更します。登録しているドメイン管理画面でネームサーバーを差し替えます。反映まで数時間から48時間程度かかることがあります。
4. SSL/TLSタブで暗号化モードを選びます。まずは「Flexible」「Full」「Full (Strict)」の違いを把握し、通信の要件に合わせます。
5. HTTPSリダイレクトを有効にします。Cloudflareの「Always Use HTTPS」や「Automatic HTTPS Rewrites」を使うと簡単です。
6. 必要ならOrigin（オリジン）に証明書を入れます。Cloudflare Origin CA証明書をサーバーにインストールすると「Full (Strict)」にできます。

設定後の確認と注意点

• ブラウザで鍵マーク（HTTPS）を確認します。表示が不安定ならキャッシュやDNS伝播を疑います。
• Cloudflareのオレンジ雲（プロキシ）を一時オフにして直接接続を確認すると原因切り分けが楽です。
• DNS変更前に既存のTTLを短くしておくと切り替えがスムーズです。

小さなヒント

• まずは簡単なモードで動作確認し、問題なければ「Full (Strict)」へ移行するのがおすすめです。

ドメインをCloudflareに追加する手順

準備

Cloudflareのアカウントを作成します。メールアドレスとパスワードを登録すれば無料プランで始められます。

ドメインを追加する手順（ステップごと）

1. ダッシュボードで「Add a site」ボタンをクリックします。
2. 追加したいドメイン名（例: example.com）を入力して続行します。
3. プラン選択画面では「Free（無料）」で問題ありません。次へ進みます。
4. Cloudflareが自動で既存のDNSレコードをスキャンして一覧表示します。完了まで数秒〜数分かかることがあります。

DNSレコードの確認と設定

• 取り込まれたA/CNAME/MX/TXTなどのレコードを一つずつ確認します。
• メール関連（MX、Mailホストに紐づくAやCNAME）は必ず「グレーの雲（DNSのみ）」にします。例: MXが mail.example.com を指す場合、mail.example.com のレコードはグレーにします。これをオレンジにするとメールが届かなくなります。
• Webサイトは通常オレンジの雲（Cloudflare経由）にして高速化と保護を有効にします。
• 見つからないレコードは「Add record」から手動で追加します。TXT（SPF/DKIM）やサブドメインも忘れずに追加してください。
• TTLは通常「Auto」で問題ありません。

次のステップの案内

確認が終わるとCloudflareは使うネームサーバーを提示します。ここでの変更は次章（ネームサーバーを切り替える）で行います。追加後しばらくはDNS反映や検証を待つ必要があります。

ネームサーバーをCloudflareに切り替える

目的

Cloudflareが提示する新しいネームサーバー2つに切り替えることで、トラフィックやSSLなどの機能をCloudflareで利用できます。作業はドメイン管理（レジストラ）側で行います。

手順（簡潔）

1. Cloudflareダッシュボードで指定された2つのネームサーバーを確認する（例: bob.ns.cloudflare.com、mary.ns.cloudflare.com）。
2. ドメインを管理しているレジストラにログインし、該当ドメインの「ネームサーバー」設定画面を開く。
3. ネームサーバーの種類を「カスタム」に切り替え、Cloudflareが示した2つを入力して保存する。
4. 保存後は反映を待つ。通常は数分で済みますが、最大で24時間ほどかかることがあります。

反映確認方法

• Cloudflareのダッシュボードに「Active」と表示されれば設定完了です。
• WHOISやオンラインのネームサーバーチェック、コマンド例（上級者向け）: dig NS yourdomain.com で確認できます。

よくある注意点

• ネームサーバー名のタイプミスに注意してください。
• レジストラによっては「デフォルトに戻す」などのボタンがあるため、保存後に変更が反映されているか再確認してください。
• Cloudflareにドメインを追加した直後でDNSレコードが未設定の場合、サイトが一時的にアクセス不能になることがあります。DNSレコードはCloudflare側で保持されているか確認してください。

問題が続く場合は、レジストラのサポートにネームサーバー変更の状態を問い合わせると早く解決します。

CloudflareのSSL/TLS暗号化モード（SSLモード）の種類と違い

モードの一覧と簡単な説明

• Off
• 暗号化を行いません。全てHTTPで通信します。推奨しません。例：テスト用の非公開サイト。
• Flexible
• ブラウザ⇔CloudflareはHTTPS、Cloudflare⇔オリジンはHTTPです。オリジンに証明書が不要で簡単に導入できますが安全性は低めです。例：証明書未設定の既存サイトを素早くHTTPS化する場面。
• Full
• 両区間を暗号化しますが、オリジンの証明書の有効性は検証しません。自己署名証明書でも動作します。例：自己署名証明書を使う内部サーバー。
• Full (Strict)
• 両区間暗号化し、オリジン証明書の有効性を検証します。最も安全です。オリジンには有効な証明書が必要です。例：公開サイトでの推奨設定。
• Automatic
• Cloudflareが状況を判断して最適化します。便利ですが詳細が必要な場合は手動で選ぶ方が確実です。

どれを選ぶべきか

公開サイトでは「Full (Strict)」を推奨します。証明書を用意できない場合は一時的に「Full」を使い、可能な限り早く有効な証明書に切り替えてください。

注意点

• オリジンサーバー＝あなたの実際のサーバーです。証明書を正しく設定するとセキュリティが向上します。
• Flexibleは混在コンテンツやリダイレクト問題を招くことがあります。HTTPS化の最終目標はFull (Strict)です。