есть такой сертификат. устанавливаю всё работает.а как сделать чтоб, к примеру FF не мог внести сайт в исключения, и сам установить сертификат? какой должен быть сертификат?

авторБлин, как трудно сформулировать вопрос чтобы было понятно.
полностью согласен. попробую ещё раз:
мне требуется, чтоб установить сертификат можно было только зная пароль, и невозможно было б установить внеся сайт в исключения, как это делается у FF, да и хром это может допустить.

пока получается, что любой подключившись по https получает сообщение о доверии/недоверии сайту и может ,согдасившись доверять, войти на сайт (аутентификация по логину/паролю это следующая ступень входа)
вход на сайт осуществляется по ip сервера, и сертификат работает только на шифрование трафика. как таковое доверие сайту здесь роли не играет.
как-то так....

авторТеперь вы хотите любого клиента вводить где-то пароль? В какой момент времени? Что именно должен этот пароль защищать?
я хочу чтоб сертификат можно было установить зная пароль к этому сертификату, чтоб без пароля его нельзя было установить.

авторЗашифрованый серфтификат от сервера?
Так просто не отдавайте сервером сертификат и всё. Это называется SSL Authentication.
наверно это.

авторне отдавайте сервером сертификат
как это реализовывается?

авторСертификат раздаётся только доверенным лицам. Они его ручками добавляют в браузер и только тогда сервер будет с ними общатся.
это счас и делается, но браузер может (при старании юзера) получить сертификат с сервера - вот этого требуется исключить