Евгений

для мониторинга срока действия сертификатов я использую такой простенький скрипт:

#!/bin/bash
#usage check-dates.sh `date in YYYYMMDD format`

for f in /certificates/*.cer
do
  date=$(openssl x509 -in $f -noout -enddate | sed 's/notAfter=//g')
  enddate=$(date -d "$date" +%Y%m%d)
  if (($enddate < "$1"))
  then
### your code here
  fi
done

в "your code" можно хоть письма отсылать со списком сертификатов у которых enddate удовлетворяет вашим критериям
Или же можете, используя пример с openssl, вывести список всех сертификатов с enddate в csv и использовать как то по другому

на всякий случай отмечу
1. сертификат придется перевыпускать каждые 3 месяца (или с меньшим интервалом чтобы не допустить истечения срока действия сертификата. А значит и с таким же интервалом придется оставлять заявку на установку нового сертификата на платформе
2. платформа не предоставляет вам такой возможности, а значит, приватный ключ сертификата вам придется передавать через интернет? Это уже отметает смысл использования сертификата. Насколько я знаю, нет лёгкого способа сгенерить LE серификат только с помощью CSR нет.

По основному вопросу: не вижу что тут непонятного:
Alexey Dmitriev уже написал:
1. скрипт скажет какие записи надо создать в вашей доменной зоне. Если вы ей не владеете(она принадлежит платформе) - вам подходит только http подтверждение.

Для защиты от ситуации с двумя(и больше) сертификатами можно прописать в CAA DNS запись только те CA которым вы разрешаете выпуск сертификатов для вашего домена.
Технически, от описанной вами ситуации это не защитит, но усложнит ее реализацию: если вы ограничите выпуск сертификата только определенными CA, то и злоумышленнику либо придется дописывать в ваш DNS запись для другого CA(того же LE) или выпускаться на разрешенном CA. А там этот домен зарегистрирован на вас

в конфиге фронтенда указывайте папку с сертификатами.
что-то вроде
frontend fe_main
bind *:443 ssl crt /etc/haproxy/crt
В папке /etc/haproxy/crt должны лежать файлы сертификатов с полной цепочкой и приватным ключом (если у вас 1й работает то скорее всего вы все правильно делаете в этом пункте)
Обработка сертификатов будет производиться в порядке сортировки файлов: если у вас два файла сертификата на один домен, но один файл назван domain.name.pem а второй www.domain.name.pem то всегда будет работать первый для сайта domain.name

нет ничего проще: делаете сертификат для сайта site.ru
везде, где только можно, используете ссылки http : //site.ru
а пути к folder - https : //site.ru/folder
А кто зашел по https на другие страницы - ссзб

В зависимости от того что предоставляет вам хостер вашего блога - посмотрите сможете ли вы сделать (бесплатный!) https://letsencrypt.org/
Ну а так - startssl для блога будет самое то, имхо.

я достаточно давно не был в метро, но в последний раз как я там пробовал подключаться к бесплатному wifi - хром заорал о подмене сертификата.
на gmail
сдается мне, что вашему клиенту просто не стоит доверять халявному вайфай, а не сертификатам letsencrypt

интересно, почему вы решили что сертификат для любого количества субдоменов вашего домена вдруг сможет стать сертификатом промежуточного центра сертификации?
Кроме того, вайлдкард сертификат ограничен только первым уровнем субдоменов вашего домена : name.example.com
Читайте теорию, хотя бы погуглите что такое intermediate ca и какие к нему предъявляются требования (и сколько это стоит) и что такое wildcard сертификат.

Можно ли получить Intermediate CA, подписанный корневым центром?
особенно внимательно прочитайте статью на MS, обратив внимание на фразы типа "therefore the price is quite high"
и требования к вашему собственному УЦ, которые необходимо соблюсти, чтобы вам выдали сертификат для вашего УЦ

вы участвуете в бета-программе letsencrypt?
если нет, то до 16 ноября (срок может измениться, но FAQ время "ч" - 16 ноября), все выпускаемые ими ключи - фейковые и исключительно для тестирования.