Buenas jcnavamorffe
A ver... creo que te lías tu solo completamente, y me da la sensación que es por no tener algunos conceptos bien afianzados, te explico.
Por otro lado está el como a día de hoy se hace la autentificación Web basada en certificados. Dado que un certificado lo puede emitir quien sea y para el dominio que sea, se establece una cadena de confianza, de tal modo que son las mismas aplicaciones/OS que accedan a dicho contenido las que tienen que dictaminar si ese certificado es genuino o no. Y en esencia llamamos certificado genuino a cualquier certificado emitido/firmado por un emisor que se considera genuino. Así que los navegadores Web, los sistemas operativos, las mismas aplicaciones... pueden controlar como de bueno/malo es un certificado mirando si quien lo expide (los CA, Autoridades de Certificación) está en una lista blanca que ellos tienen "integradas" o como una colección a parte.
Esto impide como es lógico que alguien pueda suplantar la identidad de nadie, puesto que si el emisor/firmante es una entidad reconocida internacionalmente, se va a asegurar de que si te emite un certificado a tí, tu eres quien dices ser, de lo contrario no se consideraría una entidad de confianza. Esto es esencial para el tráfico mundial de Internet, pero para uso propio da exactamente igual que dicha entidad sea reconocida internacionalmente (Comodo, Let'sEncrypt, DigiCert... incluso la FNMT ya se encuentra en casi todo el mundo como CA de confianza).
Para uso propio tu puedes crear tu propia CA, y desde ella emitir/firmar desde CA intermediarios o certificados finales, lo único, es que ese CA no es validado a nivel internacional, pero es tan sencillo como añadir el certificado del CA a la aplicación/OS que sea, para que sea igual de legítimo que los que el propio sistema incorpora. Cualquier aplicación/sistema decente lo permite. Obviamente siempre hay cierto riesgo, es decir... que no se debe de ir instalando CA así como así, solo obviamente lo que sepamos seguro. Las aplicaciones/sistemas más habituales:
-Windows
Puedes instalarlos en el almacén de usuario o en el del equipo, generalmente basta con doble clic para instalarlo, o se puede sacar el gestor de certificado e importarlo desde ahí.
-Android
Android permite sin ningún problema y sin Root ni nada, la instalación de cualquier CA manual, generalmente está en seguridad, una opción que suele llamarse instalar CA desde SD o desde almacenamiento, algo así.
-iOS
Para insertarlos en iOS es necesario crear con una aplicación que hay para ello un "perfil", que no deja de ser al final un archivo que se puede instalar visitando la web donde está contenido.
-Chrome:
Chrome usa por defecto el mismo almacén del sistema, con lo que se requiere instalarlo como certificado de sistema.
-Firefox:
Firefox usa su almacén propio, es necesario importarlo directamente a Firefox. En Android esto es un problema porque aun no han terminado de crear en Firefox el gestor de certificados.
-----------------
Por razones diversas, es algo que uso a diario, de echo hace ya mucho tiempo que gestiono para uso personal mi propio CA, con 3-4 CA intermediarios diferentes y algunas decenas de certificados finales, y hasta la fecha nuca he tenido el mayor problema, quitando como digo el fallo, temporal espero, de Firefox en Android.
Es cierto que si tienes acceso Root al teléfono Android lo puedes instalar además como certificado de sistema, con lo que ni siquiera aparecerá una pequeña advertencia al reiniciar el móvil, y también elude la seguridad de algunas aplicaciones que usan únicamente el almacén del sistema, pero no es el caso y en lo tocante a ti no te afecta tampoco.
Y dado que es un certificado que emites tu, puede ser para cualquier dominio o cualquier IP
