из выше перечисленных ответов следует следующее:
Например, если вы ставите сертификат на сайт, которым будут пользоваться неопределенные пользователи, то нужно (крайне желательно) ставить платный серт. А то вопрос о подтверждении сертификата будет вводить в заблуждение пользователей.
Если вы делаете какой-нибудь API для конкретных клиентов (например, с кем у вас связаны договорные отношения), то выпускать и подписывать сертификат можно самому. Затем клиентам раздавать корневые, чтоб интеграционный модуль на их стороне работал без вопросов. Кроме этого, не забудьте, что есть правила безопасности для самоподписанных сертификатов. Например, вы должны вести учет всех выданных сертификатов, их срок действия, список отозванных сертификатов и т.п. По мне, мелкомягкие предоставляет удобный инструмент для работы с центром сертификации и самими сертификатами. с openssl дружу не очень сильно, возможно мнение в будущем поменяется.