kce мертвий правильно, його абсолютно не потрібно робити на одній машині, але це потрібно робити з відповідного приватного ключа.
Єдиною причиною, коли я публікую другу відповідь, є те, що ніхто не сказав, чому ви могли б зробити таке. Майже кожен набір ключів / CSR, який я генерую, робиться з мого ноутбука чи робочого столу, потім ключ надійно копіюється на сервер, на якому буде встановлений сертифікат, і CSR відправляється агенству, що підписує. Причина - ентропія: SSL-сертифікати, як правило, використовуються для захисту серверів, а сервери часто мають дуже неглибокі пули ентропії, що або послаблює створені ними клавіатури, або змушує створення зайняти багато часу. З іншого боку, настільні комп’ютери мають корисне джерело випадковості, з'єднане за допомогою кабелів клавіатури / миші, і, отже, мають тенденцію мати глибокі пули ентропії. Тому вони роблять набагато кращі платформи для операцій, які вимагають високоякісних випадкових чисел, одна з таких генерація генерації ключів.
Отже, не тільки ключ / CSR можна генерувати поза сервером, але я вважаю, що для цього часто є вагомі причини.