**!!! ACHTUNG - evtl. veraltet - ACHTUNG !!!**

Diese Seite wurde zuletzt am 8. Juli 2014 um 17:03 Uhr geändert.

Blabla...

=====  Installation  =====

<code>
 aptitude install nginx</code>

=====  SSL  =====

Vorarbeiten...
<code>
 openssl genrsa -out bluemetaljackets.de.key 2048
 openssl req -new -key bluemetaljackets.de.key -out bluemetaljackets.de.csr</code>

kostenloses SSL-Zertifikat ausstellen lassen:

https:<nowiki>//</nowiki>www.startssl.com/?app=12 -> Express Lane

(eine recht gute Beschreibung inkl. Bilderserie gibt es hier: http:<nowiki>//</nowiki>www.heise.de/security/artikel/SSL-fuer-lau-880221.html)

nachdem man einmal sich selbst per Code aus einer E-Mail (an seine eigene Adresse) und einmal die Domain per Code aus einer weiteren E-Mail (an eine Adresse der Domain) verifiziert hat, bekommt man sein Zertifikat ("ssl.crt") und muss dann noch zwei weitere ("ca.pem" und "sub.class1.server.ca.pem") downloaden.

danach ist noch folgender einzeiler von nöten:
<code>
 cat ssl.crt ca.pem sub.class1.server.ca.pem > bluemetaljackets.de.pem</code>

jetzt noch schnell den Schlüssel ("bluemetaljackets.de.key") und das Zertifikat ("bluemetaljackets.de.pem") an eine stelle kopieren, wo man sie wiederfindet (<PFAD_ZUM_ZERTIFIKAT> bzw. <PFAD_ZUM_SCHLUESSEL>).

=====  Konfiguration  =====

Nginx für ssl und ganz nebenbei gleich als proxy konfigurieren (/etc/nginx/sites-available/default):
<code>
 server {
  listen <OEFFENTLICHE_IP_ADRESSE>>443;
  server_name bluemetaljackets.de;
  ssl on;
  ssl_certificate /<PFAD_ZUM_ZERTIFIKAT>/bluemetaljackets.de.pem;
  ssl_certificate_key /<PFAD_ZUM_SCHLUESSEL>/bluemetaljackets.de.key;
  ssl_session_timeout 5m;
  ssl_protocols SSLv2 SSLv3 TLSv1;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  ssl_prefer_server_ciphers on;
  location / {
    root /var/www/nginx-default;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Server $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto https;
    proxy_pass http://<INTERNE_IP_ADRESSE_DES_VIRTUELLEN_SERVERS>:80;
  }</code>
}

wenn man jetzt noch alles von http auf https umgeleitet haben möchte, fügt man noch folgende zeilen hinzu:
 
server {
<code>
  listen 111.222.333.444:80;
  server_name bluemetaljackets.de;
  rewrite ^/(.*) https://bluemetaljackets.de/$1 permanent;</code>
}

jetzt noch dafür sorgen, dass kein anderer Dienst auf Port 80 sowie 443 lauscht ("netstat -natlp" ist dein freund!) und nginx (re)starten:
<code>
 /etc/init.d/nginx restart</code>

Fertig! :-)