Cloudflare DNS・プロキシ設定入門

HOME > 技術ドキュメント > Cloudflare DNS・プロキシ設定入門

Cloudflare は DNS・CDN・WAF・DDoS 対策を一体で提供するサービスです。無料プランでも CDN キャッシュや基本的な WAF が使え、多くのサイトで利用されています。本記事では DNS 設定からプロキシの有効化、SSL/TLS モードの選択まで解説します。

機能	概要
DNS 管理	権威 DNS サーバーとして A レコード・CNAME などを管理
CDN プロキシ	エッジサーバーがリクエストを中継、静的コンテンツをキャッシュ
DDoS 対策	L3/L4/L7 の攻撃を自動的に緩和
WAF	マネージドルールによる SQLi・XSS 等のブロック（有料プランで本格化）
SSL/TLS 終端	エッジで HTTPS を終端（エッジ証明書を自動発行）

ドメインを Cloudflare に追加すると、Cloudflare のネームサーバー（例: anna.ns.cloudflare.com）が表示されます。ドメインレジストラの管理画面でネームサーバーをこれらに変更してください。反映には最大 24 時間かかります。

Cloudflare ダッシュボードの DNS タブで設定します。

タイプ	名前	内容	プロキシ
A	@（ルート）	サーバーの IP アドレス	オン（推奨）
A	www	サーバーの IP アドレス	オン（推奨）
MX	@	メールサーバーのホスト名	オフ（MX は必須）

「オレンジ雲（プロキシあり）」にするとサーバーの実 IP がユーザーに見えず、Cloudflare のエッジ IP が表示されます。

Cloudflare ダッシュボードの SSL/TLS タブで設定します。

モード	Cloudflare ↔ オリジン間	説明・リスク
Off	HTTP（平文）	HTTPS なし。使用禁止
Flexible	HTTP（平文）	ユーザー↔Cloudflare は HTTPS だが、Cloudflare↔サーバー間は平文。通信の一部が暗号化されないため非推奨
Full	HTTPS（証明書検証なし）	オリジンサーバーに自己署名証明書でも可。中間者攻撃のリスクあり
Full (Strict)	HTTPS（証明書を検証）	オリジンサーバーに有効な SSL証明書が必要。最も安全。推奨

Cloudflare がユーザーに提示する証明書（エッジ証明書）は Cloudflare が自動で発行・管理します。一方、Cloudflare からオリジンサーバーへの接続に使うのがオリジン証明書です。

証明書の種類	説明
エッジ証明書	Cloudflare が発行。ユーザーのブラウザが検証する証明書
Cloudflare オリジン CA 証明書	Cloudflare ↔ オリジン間専用。ブラウザでは信頼されない（Full モード用）
公的 CA の SSL証明書	Let's Encrypt・DigiCert 等。Full Strict モードで使用可。ブラウザでも信頼される

Cloudflare の SSL/TLS を Full (Strict) に設定するには、オリジンサーバー（EC2・VPS など）にブラウザが信頼する有効な SSL証明書のインストールが必要です。 Flexible モードはユーザー↔Cloudflare 間のみ HTTPS で、Cloudflare↔サーバー間が平文になるためセキュリティ上推奨されません。
エスロジカルではデジサート・サイバートラストの正規取扱代理店として、 RapidSSL 3,960円/1年（税込）〜で SSL証明書を販売しています。審査サポート・インストール代行も対応しています。

SSL証明書の購入はこちら / SSL証明書とは？ / インストール代行サービス

Nginx SSL/TLS 設定（Ubuntu 24.04 LTS） — オリジンサーバーへの SSL証明書設定
AWS EC2 + Ubuntu 24.04 Web サーバー構築入門 — EC2 をオリジンサーバーとして使う場合
AWS WAF 設定入門 — Cloudflare と WAF の使い分け

← 技術ドキュメント一覧へ戻る

Cloudflare の主な機能

ネームサーバーの変更

DNS レコードの設定

SSL/TLS モードの違い

エッジ証明書とオリジン証明書

Full (Strict) モードにはオリジンサーバーの SSL証明書が必要

関連ドキュメント