基本的に、証明書を入れ替えるのなら、自分の側で秘密鍵を新しく生成してそれに対応する証明書を発行してもらいましょう（秘密鍵もセットで生成してもらうようなサービスもあるにはありますが、いくら認証局とはいえ第三者に生成してもらうのは、個人的には不安に思えます）。

秘密鍵を生成するのにかかる手間はそこまで大きなものではないですし（コマンド1行で済む程度）、公開鍵暗号は時間さえ無限に取れる（スーパーコンピューターで数千年以上など、現実的な時間ではありませんが）ならいつかは解けるものなので、秘密鍵は適宜入れ替えるべきです。

SHA-2への入れ替えですが、古いガラケーとか、Windows XP以前の環境で非対応となることがありますが、業務システムで特定の端末が必要など、よほどの理由がない限り入れ替えて問題となることはないと考えます。ついでにPOODLE対策でSSL 3.0を停止しておくのもいいでしょう。

SSLのテストサイトもあって、設定の問題点をチェックしてくれます。