Николай Корабельников

Вам надо, чтобы клиентский софт(ОС, браузер,...):
- доверял корневому УЦ
- мог построить цепочку от вашего конечного сертификата до корневого УЦ.

Для последнего пункта надо, чтобы вы:
- предоставляли клиенсткому софту не только ваш сертификат, а еще и сертификат промежуточного УЦ. Так обычно делают с SSL сертификатами веб-сайтов - веб-сервера предоставляют цепочку, а не только сам сертфиикат сайта.
ИЛИ
- загрузили в доверенные не только корневой сертификат, но и сертификат промежуточного УЦ.

openssl pkcs12 -in filename.pfx -out filename.pem -nodes
Внутри будет и сертификат и закрытый ключ в формате pem.
Отдельно сертификат можно извлечь добавив -nokeys к команде.

Он задается при создании ключевой пары. Если вы его не знаете, то вряд ли сможете убрать пароль.

Буду оригинален и отвечу на вторую часть вопроса.
SSL/TLS - потому, что на сегодня большинство серверов настроено на поддержку обоих протоколов.
SSL - пока еще очень распространён. TLS все-еще поддерживает не все клиентское ПО и поэтому многие сервера настроены на поддержку SSL вместе с TLS.

Не совсем так. На самом деле у вас есть пара ключей. И закрытым ключом технически возможно подписать что угодно, хоть другой сертификат. Но назначение вашего ключа не подпись других ключей, а аутентификация SSL/TLS. Это указано в самом сертификате, который вы получили от УЦ.
Если бы УЦ выдал вам сертификат с назначением "подпись сертификатов" (и, желательно, "подпись CRL"), то вы бы могли подписывать другие сертификаты. Но это невозможно по понятным причинам.
Еще одно ограничение, которое не позволит вам выпускать сертификаты - длина пути валидации, которая тоже скорее всего указана в вашем сертификате (или сертификате УЦ). Выданный вами сертификат является сертификатом конечного пользователя.
УЦ выдают только такие сертификаты клиентам. В этом суть web trust.

Сгенерировать новый запрос на сервере и перевыпустить сертификат

Если генерировать новый запрос на сертификат, то пропадает смысл wildcard сертификата.

Лучше разобраться в причине, почему нельзя импортировать имеющийся wildcard сертификат на ваш сервер.

4) Есть ли возможность подписать сгенерированный сервером CSR закрытым ключом Wildcard-сертификата?

Вряд ли , ведь назначение сертифката скорее всего аутентификация SSL, а не подпись сертифкатов. Следовательно подписывать вашим ключом другие сертификаты нельзя. (ну технически можно, что вы и сделали, но цепочка доверия не построится).