Пару уточнений
>2. Отослать этот запрос в один из центров сертификатов Но не в любой, а в тот, что уже распознается как доверенный браузерами. ЕМНИП старейшие thawte и verisign, но современные браузеры знают и много других. Для неизвестных браузеру, но являющихся прямым потомком известных можно прописать их рутовый в апаче, инструкции обычно прилагаются.
>3. Оплатить сертификат
это в любом случае придется
>4. Установить новый сертификат
и возможно вместе с ним рутовый выбранного CA
Альтернативный вариант создать свое CA и попросить пользователя импортировать его сертификат как доверенный в браузер, после чего все сайты имеющие сертификаты, подписанные вашим CA будут прозрачны. Кстати, такой известный сервис как webmoney именно так и делает.