無料で15年分！Cloudflareの無料SSL証明書を使ってみる

CloudflareのSSL証明とは

Cloudflareは、DNSサービスをメインとしていて、その機能の中にはProxyサービスがあります。

このプロキシサービスを使うことで、非HTTPSサイトでもフロントにCloudflareをかますことでユーザーからのアクセスをSSL通信化することが可能です。

イメージとしては、

ユーザー >> HTTPS >> Cloudflare >> HTTP >> サーバー

というような形になっています。

しかし、これだとCloudflareとサーバー間はSSL通信をしていないため、サーバーにもSSL証明書を導入する方がベターです。

自身で取得した証明書か、無料で取得できるLet's EncryptのSSL証明書を導入するのが定番ですが、実はCloudflare自体も、「Cloudflare <-> サーバー」間専用の証明書を発行してくれます。

しかも、この証明書一度取得すれば15年もの間使える長期間証明書なので、更新忘れや更新エラーが起こりうるLet's Encryptよりも手軽に使えます。

CloudflareのSSL証明書の使い方

CloudflareのSSL証明書は、「SSL/TLS」ページ内の「Origin Server」というメニューから取得できます。

「Create Certificate」ボタンをクリックすると証明書が発行画面に遷移します。

デフォルトで証明書が15年となっていますね。これはすごい！

Nextをクリックすると、

• (1) Origin Certificate
• (2) Private key

の二つの内容（乱数文字列）が表示されるので、中身のテキストをそれぞれ保存しておきます。

Origin Certificateには、(3)ルート証明書が必要なので、そちらもダウンロードしておきます。

Managing Cloudflare Origin CA certificates

「Cloudflare Origin CA — RSA Root」、もしくは「Cloudflare Origin CA — ECC Root」をクリックすると、証明書の中身が表示されるので、先ほどの「Origin Certificate」の後に記述する形で使います。

サーバーやホスティングサーバーで設定する際は、

Certificate (PEM)の部分に

(1)の中身 ※補足 -----BEGIN CERTIFICATE----- から　-----END CERTIFICATE----- まで
(2)の中身 ※補足 -----BEGIN CERTIFICATE----- から　-----END CERTIFICATE----- まで

を入れます。

Key (PEM)には、

(3)の中身 ※補足 -----BEGIN PRIVATE KEY----- から　-----END PRIVATE KEY----- まで

を入れればOKです。

それぞれ、「-----BEGIN 〜〜〜〜」や「-----END 〜〜〜〜」も必要です。

CloudflareのSSL証明書を使う際の注意点

DNSでProxyをオンにしないとブラウザでエラーになる

CloudflareのSSL証明書は、Cloudflareとサーバー間だけの証明書なので、これを通常のSSL証明書（ブラウザ <-> サーバー間のSSL証明書）として使うことはできません。

ですので、CloudflareのDNSでProxy（DNS設定画面の雲のマーク）をオンにする必要があります。Proxyをオンにしないと、ブラウザ側で「証明書の発行元が不明」としてエラーになります。

SSLモードはFullにしておく

CloudflareにはいくつかSSLモードの設定がありますが、こちらは「Full」にしておくと良いでしょう。Fullモードは、ブラウザとCloudflare間、Cloudflareとサーバー間のどちらもSSL通信にする設定です。

CloudflareのSSLモードについては、下記のサイトに詳しくまとまっています。

CloudFlareのSSLモードの意味と挙動を確認して見た

Cloudflareの無料SSL証明書を見てきました。

あくまでCloudflareのProxyを使う前提ではありますが、安全なHTTPS環境が無料で15年分も用意してくれるので、使わない手はないですね！