Tach!

Auf dem Server (Apache2) kommt als Verwaltungsscript Froxlor zum Einsatz.

Das kenn ich nicht, deswegen antworte ich nur mit Apache-Wissen.

Ferner läuft PHP nicht als mod_php5 sondern als FCGID mit SuExec.

Das ist gut, denn damit kannst du die Anwendungen trennen, wenn das Berechtigungskonzept ordentlich erstellt und umgesetzt wurde.

Das bedeutet, dass eine Domain auch nur jeweils einem Kunden zugeordnet werden kann.

Die Kundenverwaltung stört den Apachen nicht weiter.

Für die "Standard-Domain" (example.com) unter der IP1 gibt es ein SSL Zertifikat. Aus diesem Grund sollen keine Subdomains verwendet werden, da es sich nicht um ein Wildcard Zertifikat handelt.

Das macht nichts. SSL kann zusätzlich konfiguriert werden. Es ist sogar so, dass SSL einen eigenen VHost bekommt und damit nicht mit den nicht verschlüsselnden VHosts kollidiert. Du kannst also ruhig Nicht-SSL-Subdomains anlegen.

Außerdem kannst du auch Zertifikate selbst erstellen. Das Zertifikatwesen funktioniert so, dass die Browser einer ganzen Menge Zertifizierungsstellen quasi blind vertrauen. Die von diesen Organisationen erstellten Zertifikate erkennen die Browser von sich aus als vertrauenswürdig an - und das unabhängig davon, ob die Zertifizierungsstelle zum Beispiel unbemerkt gehackt worden ist (schon passiert) oder vielleicht dir aus anderen Gründen nicht unbedingt vertrauenswürdig erscheint. Die Browser schreien aber laut, wenn sie Zertifikate zu Gesicht bekommen, deren Ausstellungsstelle sie nicht vertrauen. Sie können ja nicht wissen, dass aus deiner Sicht das Zertifikat völlig in Ordnung ist. Wenn man will, kann man das ganze Zertifikatswesen auch als Augenauswischerei betrachten.

Solange nur du oder ein begrenzter Nutzerkreis, den du über das selbst erstellte Zertifikat und das Browsergeschrei aufklären kannst, die Nutzer deines sebst erstellten Zertifikats sind (gerade bei solchen Verwaltungstools wie dem PMA), dann würde ich ohne zu zögern eine Subdomain mit eigenem Zertifikat versehen. Bei den neuen SELFHTML-Servern machen wir das auch so, einerseits, weil das offizielle und bezahlte Zertifikat demnächst abläuft, andererseits weil wir (zukünftig (vorläufig)) keine öffentlichen Inhalte per SSL (mehr) anbieten.

Nun gibt es aber auch diverse Anwendungen wie bspw. phpMyAdmin, Webmail u.a., die jeweils unter https://example.com/<Anwendung>/ erreichbar sind.
Jetzt hätte ich gerne, dass jede dieser Anwendungen unter einem eigenen (SuExec-)Benutzer läuft.

Das geht nicht (direkt), weil SuexecUserGroup - was du brauchst, um den Nutzer zu setzen - nur im VHost konfiguriert werden kann, deine Grenzen also (Sub-)Domänen sind.

Dabei kam mir die ServerPath Direktive in den Sinn.

Hier kann ich nicht weiter mit Erfahrung dienen. Das was ich gerade darüber las, klingt so, als ob es zielführend sein könnte - generell zumindest. Allerdings wirst du für jeden VHost - der ja Voraussetzung für einen eigenen User ist - einen eigenen ServerName (sprich Subdomain) vergeben müssen. Aber ob das dann noch mit dem SSL zusammenspielt? Vermutlich kannst du das offizielle Zertifikat auch dort konfigurieren, und vielleicht spielt das mit dem ServerPath-"Trick" zusammen, aber wenn du die Subdomains zum Aufrufen verwendest, wird der Browser logischerweise meckern.

dedlfix.