O mesmo certificado SSL para VSFTPD e Apache?

Sim, isso pode ser feito porque os dois serviços estão escutando em portas diferentes.

Não estou familiarizado com os detalhes de fazê-lo com o VSFTPD ou o Apache, mas lamento.

Você precisa garantir que tanto o VSFTPD quanto o Apache estejam usando a mesma chave privada, bem como o próprio certificado (e, potencialmente, quaisquer certificados de raiz intermediária que vêm para brincar com seu certificado SSL - se você não precisa instalar um para o apache, você não deve precisar também de VSFTPD). Sim, o domínio terá que ser o mesmo para evitar erros no certificado.

x.509 Os certificados são emitidos com base no nome de domínio, portanto, qualquer serviço que esteja escutando esse nome de domínio específico e deseje usar a criptografia SSL / TSL deve usar o certificado x.509 emitido para esse domínio.

Eu diria que está além da boa prática, não fazê-lo seria uma prática ruim. Embora você possa considerar a possibilidade de distribuir seus serviços em subdomínios separados (como ftp.domain.example, imap.domain.examle) e usar certificados diferentes para cada um deles.

Alguns administradores gostam de manter as coisas simples e, assim, usar um certificado curinga para todos esses sub-domínios, do ponto de vista criptográfico eu recomendaria contra isso, uma violação em um dos serviços usando esse certificado curinga (se conseguir a chave privada) tornará todos os outros serviços vulneráveis também.

O problema dessa abordagem é que:

1) FTPd e HTTPdhas para executar no mesmo domínio (que significa o mesmo endereço IP, se você não estiver usando o redirecionamento de porta no nível do firewall). Ou você pode especificar o nome alternativo para o certificado ssl, como ftp.domain.com, domain.com www.domain.com etc.

2) FTPd / HTTPd pode descriptografar os dados uns dos outros. Assim, se o invasor comprometer o FTPd, ele comprometeria a segurança do tráfego HTTPD e vice-versa.