Должны ли CSR создаваться на сервере, на котором будет размещен сертификат SSL?

Нет. Нет необходимости создавать CSR на машине, на которой вы хотите разместить получившийся сертификат. КСО делает должны быть сгенерированы либо с использованием существующего закрытого ключа, с которым в конечном итоге будет сопряжен сертификат, либо его соответствующий закрытый ключ создается как часть процесса создания CSR.

Важно не столько исходный хост, сколько то, что закрытый ключ и результирующий открытый ключ являются совпадающей парой.

kce абсолютно прав, это совершенно не нужно делать на той же машине, но это нужно делать с соответствующим закрытым ключом.

Единственная причина, по которой я публикую второй ответ, заключается в том, что никто не сказал Зачем вы можете захотеть сделать такую ​​вещь. Почти каждый набор ключей / CSR, который я генерирую, создается с моего ноутбука или настольного компьютера, затем ключ надежно копируется на сервер, где будет установлен сертификат, и CSR отправляется в подписывающее агентство. Причина в энтропии: SSL-сертификаты обычно используются для защиты серверов, а серверы часто имеют очень мелкие энтропийные пулы, которые либо ослабляют создаваемые ими пары ключей, либо заставляют создание долго. Настольные компьютеры, с другой стороны, имеют полезный источник случайности, подключенный с помощью кабелей клавиатуры / мыши, и, следовательно, имеют тенденцию к большим пулам энтропии. Поэтому они создают гораздо лучшие платформы для операций, требующих высококачественных случайных чисел, и генерация пар ключей является одной из таких целей.

Так что не только ключ / CSR может быть сгенерирован вне сервера, но я считаю, что для этого часто есть веская причина.