CityCat4

cert.pem и privkey.pem единственные файлы

Они не только не единственные, но даже и называться могу совершенно произвольно :) Кроме файлов ключа и сертификата ключа всегда есть файл корневого сертификата издателя, либо цепочка сертификатов издателя, ведущая к его корневому сертификату. Этот корневой сертификат хранится в специальном хранилище, называемом хранилищем доверенных корневых сертификатов. Система автоматически доверяет любому сертификату, если она способна проследить издателя до сертификата, находяещгося в хранилище корневых сертификатов. Вопрос в том, откуда браузер берет информацию о корневых сертификатах :)
Ишак, Опера, Хром, ЯБ - используют системное хранилище винды
FF имеет свое хранилище
Чтобы решить вопрос с доверенностью сертификата от LE (как и любого другого) - нужно знать, откуда он берет данные о корневых сертификатах и, в случае необходимости, добавить их туда

1. Есть конечно же. Во-первых, его выдают на 90 дней, а во-вторых, нужно поставить бота, который будет его автоматически продлять.
2. множеством вещей, которые в основном нужны юрикам - большим уровнем доверия (более серьезные проверки, выдаются только юрикам), возможностью перечисления разных имен, "зеленой плашкой" с именем конторы. Для юрика, в особенности юрика с продающим сайтом сертификат от LE - все равно что трико от abibas на именитом спортсмене :)
3. Нет. Браузеру совершенно параллельно кто издатель

Один сертификат может заверять несколько самых разнообразных имен. Называется это SAN - Subject Alternative Name и задаются они при создании запроса на сертификат. Изменить что-либо в сертификате нельзя. Обьединять два сертификата в один файл в Вашем случае бессмысленно - обьединяют их, когда необходимо, чтобы для проверки правильности сертификата в одном файле находился сертификат и все сертификаты CA, выдавших его вплоть до корневого.
Не знаю, как это делает LE, но в обычных CA указывается, что сертификат поддерживает SAN, а в собственном CA понятно , что Вы сами воротите что хотите.

Ээээ...Вы предлагаете нам сделать за Вас работу? :)

Спросите в руцентре. В одном из их сертификатов я видел надпись по-русски. Но следует иметь в виду, что с не-ASCII текстом в сертификате могут возникнуть проблемы у софта, который попытается его прочитать. Их может и не быть, конечно, но поскольку сертификаты стоят некоторых денег (для организации) - я обычно не рискую.

.pfx - ранняя версия формата PKCS#12. Как преобразовать - написано здесь

UPD: Скорее всего Вам понадобится ключ, сертификат и сертификат CA по отдельности. Как это делается в софте, не знаю, но скажем в VPN все эти компоненты указываются отдельно. Хотя может быть и ровно наоборот - программа сама умеет раздербанить PFX

Сертификат платный, бесплатный? В каком CA?

Многое зависит от того, зачем он Вам.

Потестить, попробовать, сделать сайтик "для себя и друзей" - годится бесплатный LE

Интернет-магазин от юрика, особенно если платежные системы привязаны - лучше платный сертификат от известного CA. Вам тут конечно, "експерты" сейчас накидают, что LE годится вплоть до космических программ. Можете конечно их и послушать, но разборки с клиентом, потерявшим деньги, платежная система повесит на Вас - тут были прецеденты

Если нужна EV на сертификате (зеленая плашка) - платный без вариантов (и весьма недешевый!)

А разве фишка LE не в том как раз, что он сам все делает, не требуя от юзера знаний по сертификатам?

JFYI: То, что ниже текста BEGIN CERTIFICATE - и есть публичный ключ, он же сертификат.

после покупки сертификатов GlobalSighn

Что у Вас есть после покупки? Начинать надо с этого, а не с перечисления параметров апача, половина из которых Вам не нужна.

купить честный :) Для тестирования кстати и бесплатный LE пойдет.

Ошибка Vivaldi указывает на то, что имя сайта и имя в сертификате отличаются. Ошибка FF - на то, что он не является доверенным. У FF свое хранилище, ему нужно добавлять в доверенные отдельно.

Widgits - это "сертификат по умолчанию" для демонстрации возможностей того, что https вообще работает. То, что есть люди, которые потом не убирают этот сертификат и не заменяют его на нормальный - это проблемы этих людей :)

Если в руки попал настоящий полноценный .p12 с известным паролем или даже незапароленные *.crt и *.key - можно выдавать себя за владельца сертификата и ни одна собака не докажет, что это не он.
Но Вам в руки попало то, что раздается всем подряд совершенно бесплатно типа рекламной листовки - общий ключ (публичный сертификат) в формате DER. Key Usage практически значения не имеет, интересен мог быть Extended Key Usage - вот там обычно перечисляется его настоящая применимость.

Так что Вы можете на него полюбоваться. И все :)