CityCat4

Бесплатный бывает только сыр и то он в известной конструкции с дверкой. Мыш потом очень забавно по клетке мечется :)

Для тестов. Кроме того, если это в рамках конторы - сертификат можно распространить политиками в доверенные.

1. Где ключ?
2. Три из четырех файлов - корневые сертификаты на случай их отсутствия, собственно сертификат - файл mydomainname_ru.crt

Простого способа нет. Единственная ее реалзиация - это так как сделано в squid. И главное - чтобы у клиента (инициатора соединения) стоял в доверенных сертификат СA, который выпустит сертификат для сервера-перехватчика.
Очень упрощенная обычная сессия:
Клиент: Привет, я Вася Писькин, умею так и так шифровать
Сервер: Привет, я vk.com, умею так и так шифровать
Клиент: ОК, согласен на ..., мой сертификат
Сервер: Мой сертификат
(далее проверка на клиенте того, что это на самом деле сертификат vk.com, проверка валидности сертификата, генерация сеансового ключа)
[зашифрованный сеанс]

Сессия через mitm (squid в данном случае):
Клиент: Привет, я Вася Писькин, умею так и так шифровать
Прокси: Привет, я vk.com, умею так и так шифровать
Клиент: ОК, согласен на ..., мой сертификат
(прокси быстренько генерит сертификат на себя на имя vk.com)
Прокси: Мой сертификат
(далее проверка на клиенте того, что это на самом деле сертификат vk.com, проверка валидности сертификата, генерация сеансового ключа. Заполучив сеансовый ключ, прокси обращается к настоящему vk.com, устанавливает с ним соединение и ведет обмен между Васей и vk.com как если бы его не было. Но поскольку ему доступен сеансовый ключ - он находится внутри соединения и может его мониторить и разорвать при необходимости.
Возникает конечно вопрос - почему Вася верит такому явному фейку, как сертификат от CA "Большой Брат", прикидывающийся vk.com? А все дело в шляпе том, что сертификат CA, выпустившего сертификат для прокси, ДОЛЖЕН находиться у Васи в доверенных - если этого нет, браузер Васи в ответ на сертификат прокси скажет "Ты кто такой? Давай, до свидания")

Купил ssl сертификат

Не, нифига. Факт уплаты денег не означает факт поставки товара :) CSR - файл запроса на сертификат, KEY - ключ сертификата. Теперь CSR нужно отправить в тот CA, у которого купили - в ответ придет CRT.

Каким-то образом же это делается на крупных проектах.

Крупные проекты покупают право быть subCA. Ну то есть конечно же они не получают сертификата CA, а получают некую возможность самим выпускать сертификаты, подписывая их сертификатом того CA, с которым договорились. Это если нужны сертификаты с признанием. Если же на признание пофиг - для почты например или для внутренних нужд - то просто свой CA подымается и там уже вообще что хочу - то ворочу.
Выпускать сертификат с сотней SAN - верный путь к ошибкам - таймауты на загрузку сертификатов обычно прописываются жестко - не успел, все, пока-пока.

Если планируете использовать сертификаты на телефонах/планшетах/ноутах вне корпоративной сети - CDP лучше создать и поддерживать там актуальный CRL. Некоторые программы без него гнать начинают, у некоторых шифрование отваливается или начинают страшные красные значки рисовать.

А что непонятно-то? Перевести не можете? Или подсказать адрес гуглотранслятора? :D

Нет, конечно же. Даже для получения OV-сертификата уже нужно прилагать полный комплект документов о регистрации юрика (причем не факт, что на ИП вообще дадут), а для EV - проверок и того больше (сколько не знаю, не получал ни разу, дорогой, скотина)

Сертификат от другого сервера (другого имени) можно использовать, если дать своему серверу такое же имя и иметь у себя личный ключ данного сертификата. Сертификат - это в полном смысле сертификат, который выдан на данное имя и подтверждает авторитетом выдавшего его CA (в случае с LE я бы поостерегся) что это действительно тот сайт, за который он себя выдает.

или проблема в чем то другом заключается?

Разумеется в другом

Простой ответ - настроить и использовать собственный CA.

Сложный ответ - мировые CA заточены под выпуск сертификатов совершенно определенных типов - с EKU ServerAuth (ну еще E-Mail Protection может быть). Если для Вашего mTLS этого достаточно - берите и выпускайте. Если нет - разворачивайте свой CA и устанавливайте в обеих точках сертификат корневого CA в доверенные - все равно ставите клиенту его сертификат.
Что касается LE - он вообще генерит сертификаты только под ServerAuth и только на три месяца. Не для этого его пилили.

Для того, чтобы передать владельцу сертификата и сертификат и ключ. Как правило, контейнер шифрованный, просто так его не открыть. Вообще говоря, применение сертификатов много шире, чем использование в веб, веб - это только часть, причем не самая большая.
Как например передать сертификат с ключом пользователю электронной почты? Как передать сертификат с ключом на устройство, VPN Gateway какой-нибудь?

owa или десктопный outlook?
В прикрепленном файле что?
В свойствах сообщения совсем ничего про шифрование?

Вы хотите выступать просто в качестве выпускающего сервиса или же в качестве subCA? Конечно и в том и в другом случае нужно будет договариваться с настоящим CA - если планируете за деньги выпускать. Но первый случай проще - Вы просто собрали данные у юзера и передали их в CA, вся ответственность по выпуску на них, во втором случае CA вам делегирует право выпустить N сертифтикатов от своего имени (он ессно будет видеть, что вы там выпускаете) и эта услуга платная.

Если сами не заполняли CSR, то Вам недодали ключа :) Из этих трех файлов никак его не заставить работать :) Поедет ли у Вас автомобиль, если у него в двигателе отсутствует КШМ?

Достаточно ли этих двух файлов для установки ssl сертификата на сайт?

Достаточно, если сертификат выпущен известным CA.

И как именно их корректно проверить?

Что значит "корректно проверить"? На что?

Я думаю, вполне можно. Разница между сертификатами только в уровне доверия. Работать будет. Поводов покупать платный, даже самый дишман - я вот не вижу, если устраивает поведение LE.

Неверный архив Вам прислали. Ну или чужой тыреный сертификат. Вы совершенно верно заметили - без ключа (файла, внутри которого текст между строками BEGIN PRIVATE KEY и END PRIVATE KEY) ничего работать не будет :) Пусть шлют нормальный архив. Кстати, сертификат CA (chain.crt обычно содержит все сертификаты CA вплоть до корневого) может отсутствовать - это не ошибка.

Оснастка "Сертификаты", раздел "Локальный компьютер" (не "Пользователь"!). Сертификат сервера должен находиться в папке "Личное".
Но обычно в этом нет необходимости - сертификат перевыпускается через IIS, если пользуетесь.