2022-06-12

Cloudflareに魂を売ってみた

うちの回線遅いなーフレッツ光に変えようかなーでもipv6だと自宅サーバできないらしいしなーと色々探していたら、Cloudflareで無料リバプロすればipv6でもサーバ公開できるというのを見かけて、まだipv6じゃないけど早速登録して色々弄ってみた。昔会った営業さんも感じ良かったんで印象も悪くないし……

まずドメインの情報をCloudflareに登録。勝手に今のエントリを引っ張ってきてくれるけど、なぜかcnameが全部拾えなかったりして足りない分を手動で登録。あとMXとかSPFとかDKIMとかGmailがらみのエントリも登録。
そしたらネームサーバをCloudflareに変更。うちはバリュードメインを使っているのだけど、登録して数分で切り替わったみたい。

で、自宅サーバにWebアクセスを投げてみると、リダイレクトしすぎみたいなエラーで繋がらない。キャッシュをクリアしてもダメ。
どうやらオリジンサーバで80->443のリダイレクトを仕込んでるとダメみたい。ということでnginxの設定から削除。オリジンサーバはLet’s EncryptでSSL化しているので、Cloudflare上のSSL/TLS暗号化モードをフルに変更。
とここまでやったら普通に繋がるようになった。やったね!

SSL/TLSの設定メニューを見てたら、Cloudflareがオリジン向けの証明書を発行してくれるという素敵メニューを発見。なんと証明書の期間は15年!Let’s Encryptの証明書を90日おきにせっせこ更新するのが何気に面倒だったので(cronで更新しててもたまに失敗してたりする)、これはありがたいということで早速設定。
Cloudflareの証明書をサーバ上にコピーして、nginxのssl-certificateを更新。Cloudflareだとワイルドカード証明書を作れるので、サブドメインごとに別々の証明書を作る必要もなく、めちゃくちゃ楽ちん。
最後にSSL/TLS暗号モードをフル(厳密)に変更しておいたが、ただのフルとどう違うのかはよくわからん。

とりあえずここまでやって満足したが、ゼロトラストなんかもできちゃうみたいなので、まだ色々遊べそう……しかし、なんでこれが無料なのか全く謎だわ……