Vererben des SSL Zertifikat auf Sub-Subdomains funktioniert nicht

[Brückentroll]

Hallo Miteinander!

Laut Dokumentation soll eine Subdomain, wenn kein eigenes SSL Zertifikat definiert wurde, automatisch das Zertifikat der übergeordneten Domain nutzen, sofern vorhanden (Orangefarbener Schild als Icon). Das funktioniert bei mir aber nicht (roter Schild), muss das Zertifkat (das eine Wildcard für die Subdomains enthält) daher für jede Subdomain manuell rein duplizieren (was spätestens bei Zertifikatserneuerung nervig wird). Einzig wenn ich eine Domain als Alias anlege klappt es, das ist aber nicht immer sinnvoll da es eben auch separate Seiten sind.

Mein Verdacht ist, dass es an der Domainstruktur in meinem Anwendungsfall liegt, denn ich betreue überhaupt keine richtigen Top-Level-Domains, sondern nur Subdomains und Sub-Subdomains.

Beispiel:

• Oberste Ebene die auf dem Server betreut wird: bums.einheit.hauptdomain.de
  • einheit.hauptdomain.de liegt nicht in meinem Arbeitsbereich, dortige admins haben im DNS lediglich die adresse bums.einheit.hauptdomain.de auf meine Server-IP gestellt
  • Enthält SSL Zertifikat für bums.einheit.hauptdomain.de und *.bums.einheit.hauptdomain.de
• Subdomains die ich erstelle: dings.bums.einheit.hauptdomain.de
  • Sollte SSL Zertifikat von bums.einheit.hauptdomain.de erben (und damit via Wildcard auch abgedeckt sein), tut es aber nicht

Kann das was damit zu tun haben oder liegt das Problem evtl. ganz woanders?

Danke!

[d00p]

Muss ich mir morgen Mal in Ruhe anschauen, sollte aber mit echtem Zertifikat eigentlich problemlos funktionieren. Welche der Domains ist denn als "Hauptdomain" (Admin User) angelegt und wie werden die subdomains angelegt?

[Brückentroll]

vor 13 Stunden schrieb d00p:

Welche der Domains ist denn als "Hauptdomain" (Admin User) angelegt und wie werden die subdomains angelegt?

Da bin ich mir nicht sicher, was du genau meinst? Aber ich beschreibe mal das Vorgehen:

Sämtliche Domains werden von einem Admin-User angelegt (quasi der Haupt-Admin direkt ab Installation von Froxlor), ebenso erfolgt darüber die Zuordnung der Zertifikate. Die Domains selbst werden einzelnen Usern noch zugeordnet (muss man ja eh), auch da ich darüber z.B. den Speicherplatzverbrauch verschiedener Projekte tracke.

[d00p]

wenn jede der Domains einem anderen Kunden gehört, dann ist klar warum nichts vererbt wird, das geht nicht kundenübergreifend.

Z.B.
web1 bekommt vom admin bums.einheit.hauptdomain.de
web2 bekommt vom admin web2.bums.einheit.hauptdomain.de

Dann erbt web2.bums.einheit.hauptdomain.de nix von bums.einheit.hauptdomain.de weil es nicht der selbe Kunde ist

[Brückentroll]

OK, das kann es aber nicht sein, da das überwiegend tatsächlich alles einem Kunden zugeordnet ist, also sowohl bums.einheit.hauptdomain.de als auch dings.bums.einheit.hauptdomain.de gehören dem gleichen Kunden.

Die Aufteilung auf andere User betrifft tatsächlich nur einzelne Einträge, für die ich das dann ggf. anders regeln müsste.

[d00p]

Und hast du bums.einheit.hauptdomain.de so wie auch dings.bums.einheit.hauptdomain.de als admin (also "hauptdomain") angelegt? Oder die dings-Subdomain als Kunde, als tatsächliche Subdomain von "bums.einheit.hauptdomain.de"?

[Brückentroll]

Das konzept "Hauptdomain" sagt mir nix?

Angelegt wurden alle Domains vom Admin, Kunde hat dafür gar keine Berechtigung.

[d00p]

"Hauptdomain" bezeichnet in deinem Fall die "niedrigste" Subdomain, normalerweise zB. sowas wie "hauptdomain.de" - bei dir ist es halt "bums.einheit.hauptdomain.de" - macht für den Kontext keinen Unterschied.

Also:
- Lege als admin "bums.einheit.hauptdomain.de" an 
- Wechsle zum Kunden-Account und lege als dieser die Subdomain "dings" an für die domain "bums.einheit.hauptdomain.de"

Dann hat froxlor auch einen Bezug von der ersten zur zweiten Domain; legst du beide als admin an, sind die sogesehen "nicht verknüpft" und du bekommst keine Zertifikats-Vererbung

[Brückentroll]

Jawoll, das war's. Danke, der Zusammenhang bzw. dass das einen Unterschied macht, wer das erstellt, war mir nicht bewusst.