мне нужно создать CSR на балансировщике нагрузки или на отдельных серверах?
Вы можете создать CSR где угодно. Сгенерированный сертификат должен быть в формате, который может использовать устройство, которое его использует. Обычно это PEM.
CSR - это совокупность информации (например, DN, даты истечения срока действия, CommonName) в дополнение к общему ключу. Загрузите библиотеку openssl и выполните указанные здесь трюки.
http://www.rapidssl.com/ssl-certificate-support/generate-csr/apache_mod_ssl.htm
После получения сертификата убедитесь, что вы скопировали закрытый ключ, сертификат, вместе с сертификатом CA (или создайте цепной сертификат), поскольку пользовательские приложения не часто обновляют свои корневые сертификаты.
Зависит от того, завершите ли вы SSL на балансировщике нагрузки или на веб-серверах ...
В общем, если ваш балансировщик нагрузки может справиться с этим, то лучше сделать все там и снять нагрузку с веб-серверов. Кроме того, это позволяет быстрее развертывать новые серверы, так как на один шаг меньше беспокоиться.
Сказав это, как только у вас есть свой закрытый ключ и сертификат ssl от поставщика, вы можете создать их резервную копию и использовать их где угодно (на LB или серверах), поэтому вы не будете постоянно привязаны к одному или другому методу.