Benutzer-Werkzeuge
Seitenleiste
Inhaltsverzeichnis
!!! ACHTUNG - evtl. veraltet - ACHTUNG !!!
Diese Seite wurde zuletzt am 8. Juli 2014 um 17:03 Uhr geändert.
Blabla…
Installation
aptitude install nginx
SSL
Vorarbeiten…
openssl genrsa -out bluemetaljackets.de.key 2048 openssl req -new -key bluemetaljackets.de.key -out bluemetaljackets.de.csr
kostenloses SSL-Zertifikat ausstellen lassen:
https://www.startssl.com/?app=12 → Express Lane
(eine recht gute Beschreibung inkl. Bilderserie gibt es hier: http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html)
nachdem man einmal sich selbst per Code aus einer E-Mail (an seine eigene Adresse) und einmal die Domain per Code aus einer weiteren E-Mail (an eine Adresse der Domain) verifiziert hat, bekommt man sein Zertifikat („ssl.crt“) und muss dann noch zwei weitere („ca.pem“ und „sub.class1.server.ca.pem“) downloaden.
danach ist noch folgender einzeiler von nöten:
cat ssl.crt ca.pem sub.class1.server.ca.pem > bluemetaljackets.de.pem
jetzt noch schnell den Schlüssel („bluemetaljackets.de.key“) und das Zertifikat („bluemetaljackets.de.pem“) an eine stelle kopieren, wo man sie wiederfindet (<PFAD_ZUM_ZERTIFIKAT> bzw. <PFAD_ZUM_SCHLUESSEL>).
Konfiguration
Nginx für ssl und ganz nebenbei gleich als proxy konfigurieren (/etc/nginx/sites-available/default):
server {
listen <OEFFENTLICHE_IP_ADRESSE>>443;
server_name bluemetaljackets.de;
ssl on;
ssl_certificate /<PFAD_ZUM_ZERTIFIKAT>/bluemetaljackets.de.pem;
ssl_certificate_key /<PFAD_ZUM_SCHLUESSEL>/bluemetaljackets.de.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
root /var/www/nginx-default;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://<INTERNE_IP_ADRESSE_DES_VIRTUELLEN_SERVERS>:80;
}
}
wenn man jetzt noch alles von http auf https umgeleitet haben möchte, fügt man noch folgende zeilen hinzu:
server {
listen 111.222.333.444:80; server_name bluemetaljackets.de; rewrite ^/(.*) https://bluemetaljackets.de/$1 permanent;
}
jetzt noch dafür sorgen, dass kein anderer Dienst auf Port 80 sowie 443 lauscht („netstat -natlp“ ist dein freund!) und nginx (re)starten:
/etc/init.d/nginx restart
Fertig! 
Seiten-Werkzeuge
