server {
                                # Django : 2015-05-28
                                # auf welchem Port soll der Server lauschen (HTTP: 80)?
        listen                  80;

                                # auf welchen Servernamen (vHOST) soll der Server reagieren?
        server_name             betterawstats.nausch.org;

                                # Welches Access- und Error-Logfile soll beschrieben werden?
        access_log              /var/log/nginx/betterawstats_access.log;
        error_log               /var/log/nginx/betterawstats_errors.log;

                                # HTTP auf HTTPS mit Statuscode 301 "moved permanently" umleiten
        return                  301     https://$server_name$request_uri;
}


server {
                                # Django : 2015-05-28
                                # auf welchem Port soll der Server lauschen (HTTPS: 443)?
                                # neben TLS soll auch SPDY (http://de.wikipedia.org/wiki/SPDY) 
                                # angeboten werden.
        listen                  443 ssl spdy;

                                # auf welchen Servernamen (vHOST) soll der Server reagieren?
        server_name             betterawstats.nausch.org;

                                # Welches Access- und Error-Logfile soll beschrieben werden?
        access_log              /var/log/nginx/betterawstats_access.log;
        error_log               /var/log/nginx/betterawstats_errors.log;

                                # Standard-Parameter für TLS-Verschlüsselung inkludieren
        include                 /etc/nginx/ssl_params;
                                # Zertifikatsdatei inkl. ggf. notwendiger Zwischen- und Root-Zertifikaten
                                # 1) Server-Zertifikat, 2) Intermediate-Root-Zertifikat und 
                                # 3) Root-Zertifikat der CA
        ssl_certificate         /etc/pki/tls/certs/betterawstats.nausch.org.certificatechain_150113.pem;
                                # Schlüsseldatei, mit der der CSR erstellt wurde
        ssl_certificate_key     /etc/pki/tls/private/betterawstats.nausch.org.serverkey.pem;

                                # Zugriffe erst nach erfolreicher Authentifizierung gestatten
                                # Authentifikation des Benutzers django gegen den zentralen
                                # OpenLDAP-Verzeichnisdienst
        auth_ldap               "gesperrter Bereich bei nausch.org";
        auth_ldap_servers       ldap_group_2;

                                # Welcher Inhalt soll angezeigt bzw. auf welchen Server sollen 
                                # die HTTP-Requests
                                # weitergeleitet werden?
        root                    /usr/share/betterawstats/;
        index                   index.php index.html;

        location ~ \.php {
                                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                                fastcgi_index           index.php;
                                fastcgi_param           SCRIPT_FILENAME         $document_root$fastcgi_script_name;
                                include                 fastcgi_params;
        }

        location ~* ^/(.+\.(gif|jp?eg|png|css|js|cgi|pl|ico|swf|flv|s?html|php|xap|py|xml|txt))$ {
                                expires                 1y;
                                root                    /usr/share/betterawstats;
                                allow                   all;
        }

        location ~ icons {
                                allow                   all;
        }
}