CityCat4

выдает ошибку при запуске сквида.

Где? Ошибка где? Портянку конфига можно было и не приводить, а вот ошибку - надо

выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней

Ничего не перепутали? Обычно у СА срок действия 5 - 10 - 20 лет, а у обычного - год.

с флагом KLAT, сертификат Server с флагом KAT,

Это не один флаг, а набор флагов. K - есть ключ к сертификату, L - есть CRL, T - доверенный. А - не знаю, что, возможно, что CA на микротике.

Если точно ничего не перепутали, лучше заново выпустить сертификат CA и заново сертификат сервера, потому что как только кончится сертификат CA - все сертификаты, выпущенные им, станут недействительны (однажды столкнулся, #опа еще та была)

сертификат и ca я так понял могу получить у хостинг провайдера

Нет.
Ключ генерится в момент создания запроса на сертификат. Поэтому в зависимости от того, как и кто его создает, получается два варианта:
- ключ у Вас изначально, если запрос создаете Вы
- ключ Вам передает УЦ, который выпускал сертификат (LE например)

У Вас проблемы с клиентским сертификатом (юзера) или с серверным (сервера)? И у того и у другого есть отдельные специфические требования именно для винды

Конечно :)

У меня все открывается в Waterfox 2022.11. Там обычный сертификат от LE (но тем не менее, не открывается в ишаке)

на Windows это не так просто

Как раз на винде это проще некуда - пихаешь сертификат в корневые и вуаля. Попробуй такой финт ушами провернуть с андроидом :)

1. Внимательно просмотри существующий сертификат - какие в нем имена, SAN, EKU. Сертификат на эксч - это вещь еще та.
2. csr мне всегда выпускали админы, но я знаю, что выпускается она через виндовую оснастку.
3. Насчет применимости здесь wildcard не знаю, может быть и пойдет, я всегда заказываю SAN-сертификат, в который всегда вписываю имена:
owa.blabla.bla
autodiscover.blabla.bla
(как показала практика, если в сертификате в SAN нет autodiscover.blabla.bla - не работает поиск учетных записей и автонастрока оутлука, а также адресная книга)
4. Я запрашиваю сертификат в CA, получаю, передаю админам, они его устанавивают через оснастку.

Ну, начнем с начала :)

Чей комп - Ваш, домашний или рабочий на работе? От кого скрыть - от другого пользователя, начальника, государства?

Изначально таких возможностей не было.

Так вот при установке уже через пару минут можно юзать свой VPN,

Примерно год назад то же самое говорили про WG и ovpn - где они сейчас? А с 1 марта вступает в силу закон о запрете пропаганды VPN (хотя я неточно выразился - запрешено будет писать о том, как настраивать VPN, создавать руководства и обучающие материалы).

Вот типичная статья, которая подпадает под будущий закон.

Зачем я все зто написал? Чтобы не думали что

Сегодня очень легко стало развернуть свой VPN

это навсегда. Практика показывает, что как только "что-то", что не нравится государству, набирает критическую массу - оно тут же попадает в чертный список, блочится, оказывается вне закона и т.д. (и речь не только об ИТ - почитайте например, как лихо были раздавлены покерные клубы :) )

Что-то я нихрена не понял - какие неизвестные домены, как они стучатся? и зачем их обеспечивать сертификатом?

В РФ работает только один CA - это бельгийско-японский GlobalSign. Цены кусачие. На IP сертификат не дадут. Возможно на IP дадут сертфиикат на LE.

Для того, чтобы избежать SmartScreen при скачивании и установке моего ПО

переходите на линух. Я не знаю, что там у вас за софт, но винды в корпоративном секторе через год может остаться очень мало (домашний пока удерживают игры).
Ну либо чемодан-вокзал-Будапешт :)

Серфификат разработчика - это "цифровое удостоверение" того, что некая контора проверила тот факт, что Вы - это Вы, а не Вынь Сунь из Китая, который написал криптор, маскирующийся под Ваш софт. Сейчас в РФ работает только одна контора - это бельгийско-японский GlobalSign и, да, цены он ломит конские.

Извини, "рыночек порешал" :)

В промышленных масштабах никто не использует LE. В промышленных масштабах делают свой CA и сами себе их выдают.
Теоретически, я мог бы скриптами поделиться :)

DigiCert - никак.
GlobalSign - идешь в поисковик, вбиваешь "ооо эмаро", находишь, связываешься, оформляешь заказ. Скорость работы с физиком не знаю, но с юриком - заказ на DV выполняется в течение получаса (оплатить можно потом). GS - это бельгийско-японская контора, которая почему-то не прекратила выдавать сертификаты, правда дорогая.
(OV, как положено, будут проверять - это может быть несколько дней, 5 - 10, нужны будут уставные документы и человек с каким-никаким знанием английского - потому что обратный контрольный звонок придется принимать ему)

Ну, у меня неуспешный опыт.

«Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

Потому что:
- у TB совершенно другая адресная книга и в ней совершенно другие поля
- TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

То есть:
- открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
- открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
- открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

Поэтому:
- если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
- если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

Как сделано у нас:
- СA на линухе, конкретно у меня на компе
- при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
- на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
- при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
- проблема почтовых групп не решена никак

Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...

Evolution подключался напрямую, без davmail? Я просто не знаю ни одного клиента, способного зацепиться к эксчу (как к экчсу, а не как к IMAP-серверу), кроме оутлука.
Для установки в эксч нам приходится покупать честный и нехило дорогой сертификат с SAN, куда вписывается полное доменное имя типа owa.nichego.net и обязательно autodiscover.nichego.net ! Без автодисковера в сертификате хрен чего работать будет.
(То, что nichego.net меняется на свой домен - я думаю и так понятно)

Обычно почта переходит в шифрованный режим по команде STARTTLS. Порт 465 можно указывать тольк тогда, когда на данном порту уже кем-то поднято шифрованное соединение.
Ну и к 443 порту (https) - не имеет никакого отношения, работать по этому порту не может, не будет и не работало никогда.

Если в РФ - то только GlobalSign, заказать можно в ярославской конторе ЭМАРО. Цены кусаются. Вообще - в различных мировых CA, просто сейчас с РФ не работает ни один CA, кроме вот этой японо-бельгийской конторы, которая конечно же не упускает случая драть три шкуры :)

Но если речь об ограниченном количестве устройств - то проще во все устройства корневым закинуть полученный самопальный сертификат.