CityCat4

Нет.

Только перевыпуск (если конечно SAN не был заложен, но SAN-овские сертификаты намного дороже обычных). Для обычного сайта LE может хватить, если устроит.

При заказе SAN/UCC сертификата нужно не забыть заложить в него имена, нужные эксчу, в особенности autodiscover :) Как достать ключ? Не знаю, возможно что и никак, если винда при генерации запроса не дает пометить ключ экспортируемым. При наличии ключа и наличии в SAN/UCC всех имен, с которыми будет использоваться, можно использовать где угодно.

cp certfile.crt /etc/ssl/certs
cp certfile.key /etc/ssl/private
cd /etc/ssl/certs
ln -s certfile.crt `openssl x509 -hash -noout -in certfile.crt`.0

Создать - никак.

Можно купить или получить бесплатно.

Купить: Thawte, Comodo, GlobalSign
Бесплатно: Let's Encrypt

Когда спрашивают "сертификат на IP" - сразу видно, что человек не понимает, накуа ему сертификат вообще. Сертификат - цифровое удостоверение, которое авторитетом своего издателя подтверждает, что упомянутый в сертификате обьект (сайт, сервер, сервис, человек) - на самом деле тот, за которого себя выдает.
Можно взять wildcard сертификат, который подтвердит все поддомены данного домена (*.zhopa.ru)
Можно взять SAN-сертификат, в котором перечислить несколько алиасов одного домена (zhopa.ru, zadnica.ru, popa.ru)
По поводу "здесь и сейчас" Вам лучше пообщаться с крупным регистратором типа GlobalSign - возможно у них есть какая-нибудь услуга под Ваши запросы.

Там нечего приводить :) Это просто корневые сертификаты, идущие один за другим в формате PEM.

Ну, полюбоваться на них может...

nmap их выдает для проверки - а тот ли это сертификат. Тысячи чайников используют левые сертификаты, а то и тот, что идет в качестве примера в апачевском модуле.

Божечки, домен... 5-го уровня? Не хватает фантазии...

hole.teeth.head.crocodil.ru?

И каким вообще образом кто-то с совершенно левого ресурса (evilboy*io) может запросить сертификат на мой вебсайт?

Точно таким же, как и Вы сами. Для CA нет разницы - кто запросил сертификат, особенно если он всего лишь DV - на DV там примитивная проверка на владение доменом и все.
Собственно поэтому любая приличная контора ставит себе на сайт OV или EV сертификат, хотя ничего, кроме расширенной проверки, они не дают.

dhparam генерит стартовое число Диффи-Хеллмана для SSL, к сертификатам это имеет опосредованное отношение. Оно нужно для предотвращения атаки понижения стойкости стартового числа, поскольку стандартные стартовые числа хорошо известны, можно вынудить систему перейти на нестойкое число и провести атаку

Потенциально могла бы повлиять, но конечно не настолько. Есть конечно некоторое сравнение не в пользу LE, что он бесплатный, а все остальные - за юани :) Но много ли смотрят на издателя сертификата? Если не жалко денег на покупку платного сертификата на год - ну купите, поставьте платный и посмотрите, что произойдет.

(он содержит ssl и private key).

Если он должен содержать сертификат и ключ - то не можно никак. Сертификат найти запросто, ключ - только спи... украсть :)

Потому что сертификат недоверенный.

Добавить сертификат (надо полагать самоподписанный), в хранилище доверенных сертификатов и сделать на него соответствующий линк таким образом:

ln -s certname.crt `openssl x509 -hash -noout -in certname.crt`.0

Где в бубунте хранилище доверенных сертификатов - я не знаю. Обычно оно в /etc/ssl/certs, но вот в el6 оно например в /etc/pki/tls/certs

Certificate Signing Request (CSR) - запрос на формирование и подпись сертификата. Это вовсе не ключ, это просто защищенный контрольной суммой файл с данными, который отправляется в CA, для формирования сертификата. Хотя, конечно же при этой операции формируется и ключ тоже :) Ищите утиль для создания CSR, или на худой конец поставьте openssl под винду и формируйте его по многочисленным мануалам

Нет.

Если конечно мы говорим об одном и том же типе сертификатов. LE выдает только DV сертфиикаты. Если сравнивать его с DV сертификатом от того же Комодо - скорее всего нифига разницы не будет.

Если сравнивать с OV или EV сертификатом от Комодо - разница может быть будет. Эта вещь очень сложно доказуема, потому что нужна статистика, которую собрать нереально, если ты не гугл. Но и цена EV сертификата - кусается и пребольно.

Неужели HTTPS так и работает c двумя парами ключей, по приватному и у клиента, и у сервера?

Разумеется. Погуглить асимметричную криптографию никак? Где на пальцах, то есть на примере Алисы и Боба разбирается, как она работает и почему она до сих пор работает :)
(И собственно, почему сейчас наши и не наши законодатели ломают свои и чужие головы над вопросом - как заполучать сессионный ключ юзера, чтобы расшифровывать трафик?)