Как настроить OpenVPN в случае с многоуровневым УЦ?

Скопируйте все, что между -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- включая эти строки - это будет один сертификат. Потом возьмите такой же вывод openssl для GBUZ OD 4 ROOT CA и добавьте в конец файла.
А вообще вам надо немного почитать про сертификаты, цепочки и т.п. А то двухуровневую систему создали, а что к чему не понимаете :-). CRL у вас нет, OCSP тоже. AIA на корневой не прописан. В CN пишете какую фигню с адресом электронной почты. Это же не пользовательский сертификат. Размер ключа для CA сертификата в 2048 бит - моветон. Хотя на 5 лет может и хватит :-)

Как настроить OpenVPN в случае с многоуровневым УЦ?

соберите вместе все сертификаты издающих центров в формате PEM. Скопируйте их в один файл начиная с промежуточного и заканчивая корневым. Положите этот файл на клиентский компьютер. Укажите путь к этому файлу в параметре ca.

Нет соединения к VPN серверам

Серверы ruVPN.net находятся в Норвегии. Для iOS клиентов в основной профиль входит подключение OpenVPN на порт 443. Но с iOS мало кто торретны качает. Для десктопов OpenVPN на этапе финального тестирования.
Возможно вам подойдет для iPhone или iPad.

Android – работа с ssl-сертификатами?

да

Android – работа с ssl-сертификатами?

Определитесь, что вам надо. Если двухсторонний SSL для приложения, то делайте собственную проверку сертификатов с обоих сторон, генерируйте свои сертификаты и все будет отлично работать.
Если хотите пользоваться штатными средствами, то закажите публичный сертификат для сервера, можно взять бесплатный на том же startssl.com. Посмотрите как будет работать, потом можете купить платные сертификаты.
Можно купить сертификат для сайта, а шлюз для приложение разместить на другом IP и со своими сертификатами.

Android – работа с ssl-сертификатами?

1) Ничем, если нет задачи проводить аутентификацию по сертификатам. Если вы будете реализовывать проверку сертификатов в приложении самостоятельно, то публичные сертификаты вам не нужны. Просто создайте собственный клиентский сертификат со сроком жизни 30 лет и используйте его во всех приложениях. Как вариант можно использовать публичный сертификат, но не проверять период действия на сервере.

2) Это как вы сами решите, вариантов множество. Сначала определитесь, будете использовать публичные сертификаты, или создадите собственную PKI?

Удалить старый сертификат (debian)?

Это не странное поведение, просто при проверке сертификата не строится цепочка до корневого сертификат и/или корневой сертификат не является доверенным. Это вполне ожидаемое поведение при работе с PKI уровня предприятия, когда все инфраструктура разворачивается у поставщика услуг.
Вам просто надо добавить новый сертификат в хранилище, как я писал, и все заработает как прежде.
Если есть желание узнать, публичным ли сертификатом подписана цепочка сервера https://***.**/***, то пришлите мне значение https://***.** (домена достаточно) в личное сообщение, я вам там же и отвечу, если тут домен не хотите светить. :-)

Удалить старый сертификат (debian)?

Вводных данных — это какие ОС на локальной машине и серверах. Из последнего ответа я это уже знаю. :-)
Осталось получить ответ на самый первый вопрос — «Сертификат сервера https://***.**/*** по цепочке подписан публичным корневым сертификатом?»
Доверенные корневые сертификаты в Debian устанавливаются пакетом ca-certificates. Как туда добавить свой сертификат — wiki.hiit.fi/display/it/Managing+root+certificates+(Debian+based)

Удалить старый сертификат (debian)?

Скорей всего локальная машина не Linux. Содержимое локального хранилища корневых сертификатов зависит от браузера и операционной системы.
Как добавить новый сертификат в хранилище доверенных сертификатов, можно найти через Гугл, просто для каждой системы по разному, чтобы мне вам помочь, мне не хватает вводных данных.

Удалить старый сертификат (debian)?

Тут ситуация вот какая: если они обновили сертификат, то скорее всего отозвали старый. И удаление старого вам не поможет. Вам надо установить новый сертификат в хранилище доверенных сертификатов. Тогда при подключении будет выбираться действующий сертификат.

Как подписать .msi сертификатом Thawte Code Signing?

Удачи вам! :-)

Как подписать .msi сертификатом Thawte Code Signing?

Пришлите скриншот ругательства винды. :-)
Что пишет certutil -verify -urlfetch в этот раз?

Если инет прямой, то CRL и OCSP должны отрабатывать без ошибок, а у вас

— Сертификат CDP — ОК «Базовый CRL (08ba)» Время: 0
[0.0] cs-g2-crl.thawte.com/ThawteCSG2.crl

— OCSP сертификата — Неудачно «Протокол OCSP» Время: 0
[0.0] ocsp.thawte.com

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)
CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.

Почему хабражители не жалуют компании?

Ну как бы для этого и был заведен корпоративный блог, чтобы спокойно рассказывать о своем проекте. Как мне иначе привлечь пользователей для тестирования, если не размещать ссылки? Неужели вы удивляетесь, когда видите в корпоративном блоге информацию об услугах компании? :-)

Первую статью вы не видите, она была удалена через 10 минут после публикации.

Почему хабражители не жалуют компании?

Сложно трудиться на клиента, если клиент обо мне не знает :-)

Почему хабражители не жалуют компании?

Если так, то надо вводить какие-то особые критерии для оценки статей в корпоративных блогов. Иначе получается необъективная картина, страдают, прежде всего обычные пользователи.

Почему хабражители не жалуют компании?

Личная статья провисела не более 10-минут, при этом оценки были очень хорошие. Статью удалили, так как она была опубликована не в хабе «Я пиарюсь». Так что как-такого повтора не было.
Ранее опубликовать от имени компании не мог, корпоративный блог открыли только сегодня.

Почему хабражители не жалуют компании?

Это не повод минусовать статьи и автора. Если есть грубые ошибки в тексте или еще какой-то обман, тогда все справедливо. Но если минус прилетает только за то, что это компания, то это неправильно и несправедливо. Прямо дискриминация какая-то :-(
P.S. Лично я написал статью в корпоративном блоге только потому, что кармы на «Я пиарюсь» у меня не хватает, а нагрузочное тестирование новой услуги надо провести до понедельника, иначе запуск проекта затянется на неопределенный срок.

Почему хабражители не жалуют компании?

Да, скорей всего так. В итоге получается, что лучше писать от личного аккаунта, чем от корпоративного блога, что само по себе странно. Я всегда думал, что должно быть наоборот :-)

Почему хабражители не жалуют компании?

Это крайне печально, если так. Получается, что потенциально интересная и полезная статья убирается из ленты и множество заинтересованных лиц ее просто не увидят. Возможно есть смысл не фильтровать статьи в ленте до определенного количества просмотров, чтобы оценка статьи была более репрезентативной.

Почта России и коллапс

Даже видео разбора есть www.youtube.com/watch?v=-3K7oPxNqQc