[Eisfair] Eisfair Apache als reverse proxy

[Stefan Heidrich]

Hallo Uwe, hallo NG,

> mit /usr/local/nginx/sbin/nginx -V sollte nginx die kompilierten
> Module anzeigen

revers-proxy # ./nginx -V
nginx version: nginx/1.7.11
built by gcc 4.5.4 (GCC)
TLS SNI support enabled
configure arguments: --with-http_ssl_module --with-ipv6

OK, das passt also.

> wichtig ist, dass in /etc/nginx/nginx.conf der Pfad zu den (selbst
> hergestellten) Zertifikaten richtig angegeben ist (und dass solche
> Zertifikate für den Apache auch vorhanden sind ;-).

Moment. Klär mich mal eben auf. Ich möchte den revers proxy auf einer 
eigenen Maschine vor dem MS Exchange haben. Also läuft logischer weise auf 
dem revers proxy KEIN Apache.
Im Prinzip sieht das bei mir so aus / soll so aussehen:

Internet --- Firewall --- revers_proxy (in DMZ) --- Firewall --- MS-Exchange

Der Webserver inkl. der Zertifikate laufen also eigentlich auf dem 
Exchange-Server. Wie muss der revers proxy dann konfiguriert werden?

Der interne DNS-Eintrag lautet owa.firmenname.tld und zeigt direkt auf den 
MS-Echange.
Der externe DNS-Eintrag lautet auch owa.firmenname.tld und zeigt auf die 
Firewall bzw. damit auf denn revers proxy, der dann die Anfragen weiter auf 
den zweiten DNS-Eintrag des MS-Exchange weiterleiten soll.

Oder habe ich da einen Denkfehler?
Muss ich jetzt nur noch die Exchange-Zertifikate exportieren und als 
pem/key-Files beim nginx ablegen und in die Konfiguration einbauen? Lohnt 
sich das alles vom Sicherheitsgewinn her überhaupt?

Viele Grüße und Danke für die Geduld
Stefan