Se o nome do host for idêntico, ou seja, Se o certificado que você acabou de adquirir for example.com e você estiver configurando seu aplicativo CherryPy em example.com/store , você está pronto para começar. Não se auto-assine uma vez que a CA de emissão que você acabou de comprar saiu de seu caminho não para endossar qualquer nome de host diferente daquele pelo qual você pagou (omitindo subdomínios). Se você planeja configurá-lo em outro lugar, por exemplo store.example.com , você precisará comprar um novo certificado para o subdomínio. Você pode usar o mesmo certificado em quantas máquinas desejar (muito provavelmente), desde que elas sejam acessadas através do nome de host endossado. Acredito que sua melhor maneira de agir é migrar o website para o VPS do seu aplicativo da web, como você disse, e configurar um VPS secundário dedicado ao roteamento e ao signor ou usar um certificado auto-assinado para uso entre o host compartilhado e seu principal ponto de entrada - ou use um certificado auto-assinado para uso entre o host compartilhado e seu ponto de entrada principal (VPS) somente e, nesse caso, o endosso de uma autoridade de certificação raiz é irrelevante porque você sabe que pode confie em você.
Client ~~ GET https://ex.com/store ~~~> VPS Shared Host
Client VPS ~~ GET https://store.ex.com ~~> Shared Host
Client VPS <~ OK (self-signed cert) ~~~~~~ Shared Host
Client <~ OK (CA-signed cert) ~~~~~~~~~ VPS Shared Host
Algo como isso, uma espécie de MITM saudável. Se alguém solicitar o aplicativo da web no VPS, o VPS poderá responder normalmente sem envolver o host compartilhado.
Como um aparte, essas restrições aparentemente arbitrárias que você só pode levantar com um toque de sua mágica AmEx não devem ser um problema no final deste ano .