@nSauk
Я всё же прокомментирую насчёт себестоимости. Для DV сертификатов, там конечно автоматика, но для её работоспособности нужны сервера, мощности, да и ненужно забывать что каждый вендор платит большие деньги каждому производителю софта, железа, чтобы их сертификат принимался. Это же надо договориться с каждым Google, Firefox, Cisco...
А вот для бизнес сертификатов, там ведь задействованы реальные люди, которые проверяют компании, зачастую платятся взносы в регистры предприятий для получения данных и так далее, но это другая тема.
По поводу тайны, никаких тайн. Имеется API с вендором, и непосредственно выдача сертификата осуществляет вендор и только. Даже если вы возьмёте SUB-CA, собственные сертификаты, то их будет подписывать либо Comodo, либо Symantec.
В нашем распоряжении обычно: сам сертификат (CRT), Intermediate-CA файлы, CSR код, и иногда PrivateKey, но только в том случае если клиент генерировал пару CSR/PrivateKey в нашей системе.
Задать настройки для сертификата мы можем, например SHA-1, SHA-2, тип доменов, Wildcard, EV. Мы кстати, являемся одними из тех
