CityCat4

Или LE - он собственно для этого и был придуман или покупать раз в год. 3600 - это сносная цена для сертификата типа Thawte123.

Апач кладет на SAN преогромный болт и берет имя сайта из CN. Если оно там не то - все, сертификат неподходящий.
Но Вам-то что? Самопальных сертификатов хоть сколько можно понаделать.

Никак.

Именно для этого в сквиде, например, есть режим splice, который не врезается в соединение. На самом деле "обломать" такой MitM довольно просто - достаточно проверять серийник сертификата с тем, который был заранее установлен в локальную базу. И выдавший CA. - Если что-то не совпало - бэмц, нас ломают. Я с таким сталкивался на сайтах клиент-банков, на сайте дополнений мозиллы - мозилла рвет соединение, не принимая сертификат - и все.

Конечно, администрирование таких сайтов усложняется - нужно вовремя менять сертификаты в локальной базе etc. Но видимо считают, что стоит того.

EV - это самая серьезная проверка... и самые большие понты :) Можно обойтись по-моему чем попроще, например OV. Моно даже и DV - но проблема в том, что DV - он и физикам выдается, то есть если Вы хотите именно организацию подтвердить - только OV/EV

могу ли я подписать им свой сайт?

Что значит - подписать сайт? Просчитать контрольные суммы файлов сайта и заверить их сертификатом Контура - ну, может быть и можно, в зависимости от того, какие у него назначения. Непонятно только, зачем это Вам. Подписывают файлы при передаче по открытым каналам, чтобы можно было убедиться, что "в дороге" не исказились...

- В LE, если хотите бесплатно
- В крупном и солидном CA (русскоязычным и не говорящим по английски даже на уровне "my small поросенок along the street побежаль" - настоятельно рекомендую Thawte - у них саппорт русскоязычный есть!) - если есть пара-тройка-десять-двадцать лишних тысяч

Конфиг апача?
Логи?

Установка сертификата - это прописать его в конфиге апача, там буквально три параметра. Но сначала неплохо было бы его глянуть.

Если у вас не продающий сайт - хватит LE. Если продающий - покупайте OV-сертификат у крупных поставщиков, он дороже, выдача сложнее, но престижнее :)

По настройке апача уже написал Александр . Можно добавить еще следующее:

SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    SSLHonorCipherOrder on

первая строка отключает поддержку старых дырявых протоколов.
вторая строка задает использование только современных шифронаборов с сильной криптографией. Если на сайт будут ходить с WinXP, старых андроидов - не ставьте ее
третья строка задает использовать шифронаборы, заданные вами, а не клиентом (у которого может быть слабый и уязвимый шифронабор)

Фигово гуглится? Описание того, что есть сертификат, из чего он собственно состоит и куда (кроме /dev/ass) вставляется - не попалось? Ай-ай... Гуглим "ассиметричная криптография"...

domen-xx...xx.crt и private.key - это собственно и есть сертификат. Два его компонента, которые связаны друг с другом и с чужими "половинками" работать не будут. Файл - domen-xx...xx.crt - это публичный (общий) ключ, файл private.key - приватный (личный) ключ. Первый - раздается всем при каждом соединении, второй - хранится как фотка голой подруги. Эти файлы помещаются туда, куда нужно поместить и указываются там, где нужно указать.
intermediate.crt - сертификат промежуточного CA, непосредственно выдавшего сертификат. Если Вам сертификат только для апача, без подтверждения подлинности - и без него все будет работать. Если нужно подтверждение подлинности - этот сертификат помещается в хранилище корневых сертификатов.
root_pem-xxx...xxx.crt - корневой сертификат CA, выдавшего сертификат. Обычно, корневые сертификаты всех крупных CA уже пристутсвуют в системе, но CA пофиг, он с уджовольствием отдаст свой корневой сертификат еще раз - просто на всякий случай. Опять же, этот файл нужен только для проверки подлинности.

JFYI: Сертификаты нужны не только для https - это только примерно 40% их применения, они используются куда более широко, поэтому CA шлет максимально возможный набор файлов.

LE :) Там выпуск сертификата - $0 :)

Да, LE обычно вызывает известные сомнения в масштабах компании, ее стабильности и отношениях с законом. Но Вам, я думаю, на это пофиг :)

Если имеется в виду SAN - то конечно можно и все 15 имен туда запихать - за отдельные деньги. Но например, апач не дает привязать сертификат, если имя сайта входит только в SAN - ему нужно чтобы оно было в CN, иначе тупо не запустится.
Иметь несколько разных сертификатов конечно дороже и сложнее в обслуживании, но мне кажется более надежно.

Свой УЦ.

Если есть много-(много) денег - легко. Пишете основным производителям браузеров - вот, я Иван Петров, хочу быть корневым УЦ. Давайте мне ваши требования, деньги на все есть :)
Вам дают требования, Вы их выполняете.
ПРОФИТ!

ЗЫ: Надеюсь, Вы уже поняли, что это был просто стеб. Для обычного человека и даже для обычной организации нереально попасть в списки доверенных УЦ в браузерах. От слова совсем.

А причем тут пардон, сертификат, когда у сайта проблемы с кодировками? Ну или у Вас в браузере.

Не надо. Стырив личный ключ, он может представляться Вашим сервером. Трафик перехватывать, если будет такая возможность. Для тестирования достаточно самодельного сертификата или LE.

Преобразовать, если речь о формате DER (бинарном)

# openssl x509 -in filename.cer -out filename.crt -inform DER -outform PEM

Переписать, если речь о формате PEM (текстовом, начинается со слов BEGIN CERTIFICATE)