CityCat4

на Windows это не так просто

Как раз на винде это проще некуда - пихаешь сертификат в корневые и вуаля. Попробуй такой финт ушами провернуть с андроидом :)

1. Внимательно просмотри существующий сертификат - какие в нем имена, SAN, EKU. Сертификат на эксч - это вещь еще та.
2. csr мне всегда выпускали админы, но я знаю, что выпускается она через виндовую оснастку.
3. Насчет применимости здесь wildcard не знаю, может быть и пойдет, я всегда заказываю SAN-сертификат, в который всегда вписываю имена:
owa.blabla.bla
autodiscover.blabla.bla
(как показала практика, если в сертификате в SAN нет autodiscover.blabla.bla - не работает поиск учетных записей и автонастрока оутлука, а также адресная книга)
4. Я запрашиваю сертификат в CA, получаю, передаю админам, они его устанавивают через оснастку.

Ну, начнем с начала :)

Чей комп - Ваш, домашний или рабочий на работе? От кого скрыть - от другого пользователя, начальника, государства?

Изначально таких возможностей не было.

Так вот при установке уже через пару минут можно юзать свой VPN,

Примерно год назад то же самое говорили про WG и ovpn - где они сейчас? А с 1 марта вступает в силу закон о запрете пропаганды VPN (хотя я неточно выразился - запрешено будет писать о том, как настраивать VPN, создавать руководства и обучающие материалы).

Вот типичная статья, которая подпадает под будущий закон.

Зачем я все зто написал? Чтобы не думали что

Сегодня очень легко стало развернуть свой VPN

это навсегда. Практика показывает, что как только "что-то", что не нравится государству, набирает критическую массу - оно тут же попадает в чертный список, блочится, оказывается вне закона и т.д. (и речь не только об ИТ - почитайте например, как лихо были раздавлены покерные клубы :) )

Что-то я нихрена не понял - какие неизвестные домены, как они стучатся? и зачем их обеспечивать сертификатом?

В РФ работает только один CA - это бельгийско-японский GlobalSign. Цены кусачие. На IP сертификат не дадут. Возможно на IP дадут сертфиикат на LE.

Для того, чтобы избежать SmartScreen при скачивании и установке моего ПО

переходите на линух. Я не знаю, что там у вас за софт, но винды в корпоративном секторе через год может остаться очень мало (домашний пока удерживают игры).
Ну либо чемодан-вокзал-Будапешт :)

Серфификат разработчика - это "цифровое удостоверение" того, что некая контора проверила тот факт, что Вы - это Вы, а не Вынь Сунь из Китая, который написал криптор, маскирующийся под Ваш софт. Сейчас в РФ работает только одна контора - это бельгийско-японский GlobalSign и, да, цены он ломит конские.

Извини, "рыночек порешал" :)

В промышленных масштабах никто не использует LE. В промышленных масштабах делают свой CA и сами себе их выдают.
Теоретически, я мог бы скриптами поделиться :)

DigiCert - никак.
GlobalSign - идешь в поисковик, вбиваешь "ооо эмаро", находишь, связываешься, оформляешь заказ. Скорость работы с физиком не знаю, но с юриком - заказ на DV выполняется в течение получаса (оплатить можно потом). GS - это бельгийско-японская контора, которая почему-то не прекратила выдавать сертификаты, правда дорогая.
(OV, как положено, будут проверять - это может быть несколько дней, 5 - 10, нужны будут уставные документы и человек с каким-никаким знанием английского - потому что обратный контрольный звонок придется принимать ему)

Ну, у меня неуспешный опыт.

«Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

Потому что:
- у TB совершенно другая адресная книга и в ней совершенно другие поля
- TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

То есть:
- открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
- открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
- открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

Поэтому:
- если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
- если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

Как сделано у нас:
- СA на линухе, конкретно у меня на компе
- при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
- на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
- при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
- проблема почтовых групп не решена никак

Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...

Evolution подключался напрямую, без davmail? Я просто не знаю ни одного клиента, способного зацепиться к эксчу (как к экчсу, а не как к IMAP-серверу), кроме оутлука.
Для установки в эксч нам приходится покупать честный и нехило дорогой сертификат с SAN, куда вписывается полное доменное имя типа owa.nichego.net и обязательно autodiscover.nichego.net ! Без автодисковера в сертификате хрен чего работать будет.
(То, что nichego.net меняется на свой домен - я думаю и так понятно)

Обычно почта переходит в шифрованный режим по команде STARTTLS. Порт 465 можно указывать тольк тогда, когда на данном порту уже кем-то поднято шифрованное соединение.
Ну и к 443 порту (https) - не имеет никакого отношения, работать по этому порту не может, не будет и не работало никогда.

Если в РФ - то только GlobalSign, заказать можно в ярославской конторе ЭМАРО. Цены кусаются. Вообще - в различных мировых CA, просто сейчас с РФ не работает ни один CA, кроме вот этой японо-бельгийской конторы, которая конечно же не упускает случая драть три шкуры :)

Но если речь об ограниченном количестве устройств - то проще во все устройства корневым закинуть полученный самопальный сертификат.

У апача настолько гибкий конфиг, что он позволяет вывернуть себя наизнанку. Поэтому советы будут во многом зависеть от того, что за дистриб у Вас.

Конфиг у апача модульный. Это означает, что для запуска https кроме настроек сайта (ниже) нужно еще настроить апач "вообще". Обычно это делается подключением файла с именем ну например 40_mod_ssl.conf (это он у меня так называется, у Вас будет называться по-другому) - там куча общих настроек.

В конфиге сайта для запуска https делаются следюущие настройки:

<VirtualHost *:443>
    ServerName имя_сайта
    ServerAdmin мыло_админа_сайта

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    SSLHonorCipherOrder on

    SSLCertificateFile "/etc/ssl/certs/файл_сертификата_сайта"
    SSLCertificateKeyFile "/etc/ssl/private/файл_ключа_сертификата_сайта"

    SSLOptions +StdEnvVars +StrictRequire

    CustomLog /var/log/httpd/сайт/access common
    ErrorLog /var/log/httpd/сайт/httpd
</VirtualHost>

SSLCipherSuite и SSLHonorCiperOrder трогать не рекоменду - копипастить как есть. Первый параметр задает шифронаборы, которые поддерживает сайт, второй - что шифронаборы выбирает сервер, а не клиент. Шифрнаборы заданы довольно либерально (это дает возможность подключаться старым браузерам и старым осям). Для усиления безопасности строку можно переписать так:

SSLCipherSuite kEECDH+AES:kEDH+AES:kEECDH+CHACHA20:kEDH+CHACHA20:!aNULL:!DSS:!SSLv2:!SSLv3

Обычно используют wildcard-сертификат, который валиден для всех поддоменов типа hren.zhopa.ru, zhopa.zhopa.ru, ruchka.zhopa.ru и т.д. LE вроде бы такой сертификат выпускает, если нет - делайте самоподписаный.

Ничего удивительного нет.

GTS Root R1 - корневой центр, который выдает сертификаты только субцентрам. Обычная практика. Выдал сертификат субцентра для GTS CA 1P5.
GTS CA 1P5 - субцентр, который выдает обычные сертификаты. Выдал обычный сертификат для work.ua
work.ua - сайт, который получил сертификат.

Цепочка изданных сертификатов - три штуки, корневой, промежуточный, целевой. Только очень маленькие CA используют один корневой, все остальные, как правило создают иерархию в два, а то и три уровня.

Есть, но не про вашу честь :) Данный сертификат может быть использован только сервером с именем *.timeweb.ru, timeweb.ru. То есть для установки на сайт zhopa.timeweb.ru - подойдет, а вот для сайта zhopa.ru - нет.

Вам придется долго и мучительно доводить Ваш вопрос до ума.
1. Сертификат никогда не проверяется централизованно - Вы так сеть затопите бессмысленными запросами и Службу Сертификатов положите. Сертификат всегда проверяется на локальной машине.
2. Что вобще означает "проверяется"?

проверить подпись на документе, посредством обращения к центру сертификации

Чушь. В винде сертификат публикуется в AD и проверка идет через котнроллер домена. Центр Сертификации выдает сертификаты.

выдавать сертификаты для уже готовых ключей пользователей

Чушь. Выдача сертификата происходит один раз - когда генерируется ключ. Любая другая выдача приведет к выписке другого ключа и появлению другого сертификата

можно ли реализовать это стандартными средствами операционной системы

Windows Server - можно, если конечно считать что Windows еще актуально.

как в двух словах должен происходить процесс настройки?

В двух словах - нанять фрилансера. Иначе будет совсем даже не в двух и даже не в двухстах, и даже не в двухстах тысячах слов - сертификат - это конструктор. Чего захотел, того и сложил :)

SSL_ERROR_RX_RECORD_TOO_LONG

Данная ошибка означает, что Вы пытаетесь подключиться по https на порт, на котором нет https. Уберите порт из virthost, если нужно перенаправление - создайте еще один виртхост, на котором будет перенаправление.

Корневые сертификаты выпускаются на длительный срок - 10, 15, 20 лет. Замена корневого сертфииката - муторный и сложный процесс.