CityCat4

Бесплатные ни разу не запрашивал. Платные всегда выпускают ... относительно вовремя :) Почему относительно - я всегда заказываю через nic.ru, поэтому всегда есть кого пнуть.Так вот зачастую бывает, что после пинка в nic.ru сертификат магическим образом тут же выпускается. Из чего я заключаю, что там сидят обычные ленивые болваны :)
Что касается статуса - валидация не прошла до конца. Пока статус не перестанет быть being validated, сертификат не выпустят - там в основном боты работают.

Все неправильно. :) Выбросьте уже эти мануалы столетней давности и читайте man req

Я так понял, Вам нужен SSL-сертификат. Генерируете самоподписанный или же запрос на создание во внешний CA?

Если генерируете самоподписанный, то команда:

openssl req -x509 -sha1 -out test.crt -new -nodes -keyout test.key -newkey rsa:2048 -set_serial 0

создаст Вам сертификат с ключом RSA 2048 бит, что сейчас пока достаточно :) и серийным номером 0 (если хочется случайный номер, параметр set_serial убрать), размещенным в файлах test.crt и test.key. Первый - собственно сертификат (публичный ключ), второй - ключ. Генерируются они всегда парой - использовать сертфиикат с чужим ключом не получится. В процессе генерации openssl запросит данные, заносимые в сертфиикат, если не важно, можно тупо жать Enter

Если генерируете запрос во внешний СA, то команда:

openssl req -new -sha1 -newkey rsa:2048 -nodes -keyout test.key -out test.pem

сформирует запрос на сертификат в файле test.pem и ключ к данному запросу в файле test.key. openssl опять будет задавать вопросы, отвечать на них - в том случае, если запрос идет в общепризнанные СA типа Thawte, нужно внимательно, если в корпоративный - в соответствии с CP данного CA, там могут и вообще заполнения не требовать.

Можно, но не бесплатно. А за такие деньги, что можно десяток доменов купить :) А для разработки вообще достаточно самоподписанного - андроид правда будет матом крыть на тему "ааа, меня контролируют!"

Покупается не сертификат. Покупается подтверждение от имени некоей конторы, которая всем известна и которой все доверяют того факта, что держатель сертификата на самом деле то лицо (организация), которой представляется. Это на самом деле большая ответственность - за косяки бывает СA лишают доверия - чего стоит история с пинком под зад для StartSSL/WOSign
Выпустить самому себе сертификат никто не мешает - более того так поступают очень часто, когда его публичность никому не нужна - например веб-морда iLO, упса, девайса какого-нибудь для работы https генерит "хоть какой-нибудь" сертификат - если хочешь меняй. Корпоративные СA выпускают сами себе сертификаты - и прекрасно живут.
Покупной сертификат дает подтверждение того факта, что лицо, обозначенное в сертификате есть то, за которое оно себя выдает. Гарантируется это авторитетом CA, которое их выдает. Вы можете взять бумажку и написать на ней "Пачпорт гражданина всея России" - но кто Вам поверит?
Доверие к разным CA не безусловное - к одним больше, к другим меньше - в отличие, например, от УФМС. Но УФМС одно, а СA много.

Потому что частично-защищенное соединение. На странице присутствуют элементы, загружаемые по обычному http протоколу. И находится это простым заходом на страницу и просмотром свойств соединения.

Нет. Халява кончилась.

Нет шаблона или шаблон не активирован. Сопровождение виндового CA - та еще песня...

Сертификат чей? Кем выдан?

Да нет, я подозреваю, что не нравится CA, выдавший данный сертификат. По крайней мере, сообщение переводится именно так - Сертификат другой стороны (напарника - peer) не может быть аутентифицирован с сертификатом данного CA. Напоминаю, что аутентификация - это проверка того факта, что обьект, выдающий себя за Ивана Петрова на самом деле Иван Петров, а не Федя Васечкин. Отсюда какой вывод? Не доверяют сертификатам, выпущенным в LetsEncrypt (что и следовало ожидать)

С LetsEncrypt не попутали? Разве сPanel СА?

Вообще в качестве сертификата подойдет. Зеленой полосы не будет - это сертификат для физиков.

CA StartSSL мертв. R.I.P.

Ищите здесь похожие посты, их штук пять было не меньше. Те, у кого открывается, просто пользуются старыми браузерами, где списки корневых не обновлялись.

Можно купить SAN-сертификат - в котором можно прописать дополнительные доменные имена. Правда стоит он заметно больше - от 11 тыс. руб на nic.ru, причем вписать можно только 6 имен, потом доплачивать. Всего можно вписать до 24 имен. Такой сертификат доступен только юрику, то есть подтверждение организации обязательно.
Да, издателем будет Thawte

А с когда это установщиком в центосе стал какой-то pip? Yum всегда был... Ну или rpm напрямую, если что-то не але - например нужно снести пакет, а он тянет по зависимостям полсистемы...
Вам что, сообщение перевести? Так без знания английского достаточного для перевода Вы так и будете на тостер писать... Вам английским по белому пишут - локация требует SSL, но модуль поддержки ssl не установлен.

В Windows, если не использовать сторонние тулзы, все, что касается сертификатов невероятно запутано.

- Требуется ли AD для центра сертификации - не знаю, идея его разворачивать без AD никогда мне в голову не приходила. AD используется и очень широко.
- Весь выпуск сертификатов основан на шаблонах. Если сертификат должен иметь какие-то нетипичные OID - лучше сначала посмотреть - есть ли они в нужных шаблонах и есть ли такие шаблоны вообще, если нет - придется создавать.
- Отдельной программы создания CSR нет. Ну, в смысле, виндовой, графической со свистелками и пищалками, есть только текстовая программа, использующая текстовый ini-файл, называется, если не ошибаюсь certreq.exe Винда считает, что CSR должен генерится "на лету", запрос сразу попадать в центр сертификатции и сертификат выдаваться незаметно - так чтобы у юзера доступа к ключу сертификата не было :) Что разумеется, Вам не подойдет - сертификат же на яббл нужно будет ставить.
- Чтобы использовать сертификаты хоть где-нибудь, кроме как на компе, где генерился CSR, придется его (CSR) генерить сторонней тулзой и передавать в виде base64 в центр сертификации через веб-морду центра - сам так делаю, хоть это криво, неудобно и довольно нелепо. Но зато процесс формирования .p12 полностью подконтролен.

Запрос с устройства необязателен. Можно и на сервере генерить - если будет чем. Есть ли что-то такое в powershell - никогда не задумывался, может быть и есть

Выпустить его заново в том СA, где получали. Если самоподписанный или выпущен в корпоративном CA - выпустить заново.
Перевести сертификат в читаемый вид можно командой:

# openssl x509 -in файл_сертификата -noout -text | less

либо если хочется в файле сохранить:

# openssl x509 -in файл_сертификата -out файл_текстовый -text

PEM - это общее название файлов, закодированных по следующей схеме:
первая и последняя строки - это текст -----BEGIN NEW CERTIFICATE REQUEST----- (либо CERTIFICATE, либо PRIVATE KEY, либо еще что-то) и -----END NEW CERTIFICATE REQUEST----- (и соответственно парная строка), а между ними base64-закодированный сертификат, запрос на сертификат, ключ - то, про что написано в заголовке.
Запрос на сертификат создается через openssl, а также есть разные программы для винды. Сертификат создается CA, которое обрабатывает запрос. Можно создать самому - это будет самоподписанный сертификат, ему никто не будет доверять, но в некоторых случаях на это можно забить.

Все зависит от того, для чего Вам файл понадобился