В общем, оставляю для потомков (по большей части - для себя, потому что сам ежегодно ищу эту информацию).

Итак, для использования сертификата от НУЦ веб-сервером, нужны будут как минимум:
- приватный ключ из файла p12 (генерируется при подаче заявки);
- готовый сертификат .cer;
- корневой сертификат НУЦ.

Последовательность такая:
1. Объединяем сертификат и ключ через сервис installcert.html (в архиве ssl_pki.zip). Получаем файл RSA_....p12.
2. На сервере - openssl pkcs12 -in RSA_....p12 -out domain.kz.key -nodes -nocerts (выделяем ключ)
3. Там же - openssl pkcs12 -clcerts -nokeys -in RSA_....p12 -out domain.kz.crt
4. И потом в конфигурации виртуального хоста nginx:
ssl on;
ssl_certificate /etc/nginx/ssl/domain/domain.kz.crt;
ssl_certificate_key /etc/nginx/ssl/domain/domain.kz.key;
ssl_client_certificate /etc/nginx/ssl/domain/rsa_root.cer;

На всякий случай, чтобы я снова не начал искать решение проблемы - ссл-соединение устанавливается до того, как браузер посылает хттп-заголовок и на всех хостах будет один и тот же, если он не wildcard-сертификат. Вот так-то. Удачи мне!

Всем привет!
Подскажите, как на сегодняшний день проделать вышеуказанную процедуру?
На руках имеется сертификат от НУЦ (.cer файл), .p12 ключ, не могу понять, как мне их объединить? Через какие инструменты?