Получение сертификата x.509 и личная безопасность

Каким образом данная подпись распространяется на закрытый ключ той пары, открытый ключ которой подписан?

А они математически связаны. Хотя, конечно, ничто не мешает Вам сделать несовместимые друг с другом открытый и закрытый ключи, только проку от них никакого не будет.

Кстати, такая же ситуация с ключами OpenPGP. Не путайте открытые и закрытые ключи с базовыми ключами и подключами. Первые в рамках протокола связаны только номерами ID (чтоб программа знала, какой закрытый ключ использовать для зашифрованного сообщения). Вторые — базовые ключи открытые и открытые подключи — действительно заверяются перекрёстными подписями во избежание подмены.

Существует ли практика подписывания файлов (например дистрибутивов программ) непосредственно в УЦ, т.е. закрытым ключом УЦ, или как правило для этого организация получает свой сертификат с наследованным от УЦ доверием и уже с его помощью ставит ЭЦП?

Корневой ключ УЦ применяется только для заверения других сертификатов — это требование формата X.509. Технически, УЦ может создать специальный code-signing-сертификат, заверить его корневым ключом, и уже его использовать для подписания программ.