Нет такой цели. Это безопасность ради безопасности :)
Я к тому, что нужно определиться, от чего вы хотите защищаться и надо ли вам от этого защищаться - только после этого ставить вопрос о том, как именно это делать.
Что вы понимаете под разграничить права? Речь идёт об изоляции сайтов друг от друга или вы что-то другое имеете ввиду?
Хм, похоже, я не правильно прочитал ваш изначальный вопрос - не обратил внимания на акцент с httpS://ya.ru.
Дело в том, что редирект c https на https в таком виде в принципе не пройдет без предупреждения - ssl отрабатывает до http.
Сама идея использования https в том числе и в защите от подобного перехвата/редиректа.
Получается такая схема:
1. Браузер пытается подключиться к ya.ru на порт 443
2. Микротик редиректит (подменяет ip-адрес) запрос на свой адрес
3. Браузер пытается установить ssl-сессию с микротиком, но домен в сертификате не совпадает с доменом в адресной строке - и он выдает соответствующее предупрждение
При редиректе с http на https не должно быть такой ошибки.
Предпочтительнее из-за централизации внесения изменений, упрощения деплоя, сопровождения и т.д.
Так то вы можете собрать пакет сами или скачать из недоверенного источника :)
Но как я понимаю, сервер со сквидом один, вы не вносите в него (в код сквида) дополнительных изменений, своего репозитория у вас нет - смысл сборки пакета только для сквида отсутствует.
Потратите своё время, а потом всё равно потеряете этот пакет или забудете что ставили не из оф. репозитория :)
Чтобы получить сертификат, вам нужно было самим сгенерировать закрытый ключ, создать с помощью него CSR (запрос на сертификат) и отправить его (CSR) регистратору.
В CSR указывается вся информация, необходимая для создания сертификата, в том числе - открытый ключ (для вашего закрытого)
Мне не понятно, что именно вы заказали и что вам пришло в письме)
Возможно, они за вас сегенировали закрытый ключ (RSA), создали запрос (CSR) и сделали сертификат (CRT) - но это очень странно и не правильно - закрытый ключ должен же быть известен только вам.
Необходимость выделенного ip там противопоставляется шаред-хостингу, на котором работают несколько сайтов на одном ip.
Веб-сервер же определяет какой сайт ему показывать по http-заголовку. А при использовании SSL сервер сначала должен предоставить свой сертификат (на кокретный сайт с определенным common name), и только потом уже начать общаться по http.
Т.е. уже на этапе ssl-handshake сервер должен каким-то образом понять, какой сайт (какой сертификат) ему показать. Поэтому и требуют, чтобы у каждого сайта был свой ip-адрес. (Да, есть SNI, но не все шаред-хостинги такое умеют)
То, какая А запись будет у вашего домена, регистратора не должно волновать :)