CityCat4

Извините, но это не по Хуану сомбреро будет :) Такая задача даже для человека с солидным опытом работы с линухом - непростая, несмотртя на то, что он представляет, как это все будет работать. А Вы просто сломаете все и ничего собрать не сможете.
Япония - не Европа (когда я начал перевод Princess Evangile - я это несколько раз написал), Линух - НЕ винда. Тут все по-другому, тут идеология другая. Да, все можно сделать, особенно если у вас обычная продаванская контора, где нет забубенного инженерно-конструкторского софта (как у нас). Но для этого требуются твердые, четкие знания - как это работает.

Потому что чудище это. Обло, огромно, озорно, стозевно и лаяй. Куча все возможных параметров, и еще большая куча их комбинаций, позволяющая делать множество вещей настолько большое, что описать затруднительно.

Была книжка, там в начале как раз про создание и настройку CA, не все правда, написано, только основные моменты.

Размыто все и непонятно потому что МММ - Мы Можем Многое. Ну в смысле реально там можно многое :)

Что за сертификаты будут выпускаться? Какая будет информация в Subject? Какой срок действия? Будет ли использоваться CDP? AIA? Будет ли выпускаться PKCS#12 или же так передаваться? Допустимо ли наличие в базе двух сертификатов с одинаковым Subject? Какая информация будет необходимой для Subject (без нее будет в выпуске отказано).

Бездна вопросов :) Если что - мыло в профиле, но отвечаю не сразу

Это что ж за чудище такое, что не распознается стандартным ядром? И почему дистриб трехлетней давности?

Файрволлу поуху на RSA ключ :) У него есть список правил, в соответствии с которыми он работает.

Подделка почтовых заголовков - крайне плохая идея. Уже не говоря о том, что ответ тоже пойдет на support@domain.tld, потому что протокол SMTP не предусматривает никакой защиты заголовка. То есть конечно, можно покопаться в мозгах постфикса и организовать нечто типа "почтового NAT", когда сервер "помнит", что письмо с заголовком X-Zhopa: AAAA на самом деле отправлял ivanov@domain.tld, письмо с заголовком X-Zhopa: BBBB отправлял petrov@domain.tld и при приеме меняет заголовок обратно - но, боюсь, писать это придется самому :)
Это не считая того, что обычно конторы, у которых переписка идет с одного адреса - могут быть посчитаны за шарашкины.

nagios, zabbix

Для мониторинга винды устанавливается nsclient++, который позволяет мониторить состояние службы. Хотя с написанием сервиса для проверки придется немного почитать манов.

Ну вообще-то система пятилетней давности и вовсе ничего нет удивительного, что обновление openssl потащило за собой столько обновлений других вещей.
И обновляться конечно же надо. Но сначала нужен бэкап всего и вся, потому что:
- такое обновление наверняка сломается на половине
- даже если не сломается, вовсе не факт, что все заработает как должно

single или emergency при загрузке в параметры ядра, однопользовательский режим, замена всех вхождений nvidia на nouevau либо удаление всех упоминаний nvidia (в том числе и в параметрах ядра, если там оно есть)

Ну, во-первых, строка

net.ipv6.conf.all.disable_ipv6 =3D 1

это либо косяк вставки, либо чушь, ибо "3D" - это код символа "=", а во-вторых правка этого файла ничего не делает :) Это файл настроек для sysctl, он применяется либо при перезагрузке, либо вручную.
Если Вы вручную его не применяли (командой sysctl -p), то в системе ничего не изменилось :) просто уберите нафиг строки, чтобы они не прочитались при следующей загрузке (они скорее всего все равно не применятся из-за синтаксической ошибки)

"...Вот заветный зверь - писец
Кто поймает - молодец..." (С) Рассказ Баня, приписывается А.Н. Толстому

Вот ты его поймал, но нифига не молодец :) Сыпануло ошибок ввода-вывода, потом ведро начало отваливать задачи, зависшие в планировщике ввода-вывода, а после перезагрузки диск просто потерялся. Спроси Zettabyte - может он сможет помочь.

В скрипте запуска поставить зависимость от службы сети. Как - зависит от того, что там у Вас рулит системой.

У пакета есть сценарий установки, который собственно и говорит пакетному менеджеру, что и куда класть. Нужно предусмотреть в нем проверку существования файла и копирование файла с другим именем, например в RPM такой файл будет добавлен с дополнением имени ".rpmnew"

Есть ли простой способ сделать какой-то snapshot и загрузить его на другой VPS?

Сделать снапшот можно всегда и везде, но только перекинуть к другому хостеру его практически невозможно - ради Вас никто морочиться таким вопросом не будет, за исключением случая, когда технология уже налажена с кем-то.

А почему бы не поставить линуховую версию 1С сервера и обычного 1С-ного клиента под винду? И не надо никакого рабочего стола - 1С сто тыщ мильенов лет как умеет по сети.

Из брижда vmbr1 вылетел физический интерфейс, который был в него добавлен. У меня такая шляпа - вообще обычное дело при пропадании сети. Вылетает интерфейс и все.

1. Где ключ?
2. Три из четырех файлов - корневые сертификаты на случай их отсутствия, собственно сертификат - файл mydomainname_ru.crt

Менять нужно вызовы, которые обновляют таймштамп, вестимо. То есть ведро (libc менять бесполезно, там только обертки). Сама замена алгоритмически проста как полено - в случае, когда нужно обновить таймштамп - просто генерить случайное число.

Но :)
Поскольку числа будут случайные, даты будут чудовищно нелепыми и любой мониторинг любого сервера тут же заорет.

Восстановить прям на VPS скорее всего не получится, но слить образ себе не особо сложно (когда разберешься). Я делаю вот так:

Команда выполняется на удаленном сервере с одновременной передачей дампа на сервер, который указан в командной строке. При выполнении команды будет инициировано обычное ssh-соединение, запрошен ключ или пароль, выходные данные записываются в несжатом виде

# dump -0auL root -f - /dev/vda2 | bzip2 | ssh user@servera.net -p 22 dd of=vda2.dump

Параметры, которые нужно менять:

-L root - метка бэкапа
/dev/vda2 - имя устройства, с которого снимается бэкап
user@servera.net - пользователь и имя сервера, куда передается бэкап
vda2.dump - имя файла, куда будет записан бэкап (по умолчанию он будет в домашнем каталоге пользователя)

На сервере servera.net должен уже существовать юзер user - именно его пароль будет запрошен.

Можно через dd, как выше, но в таком случае будут передаваться все блоки в том числе и пустые и размер файла бэкапа будет равен размеру диска (до сжатия)