Os CSRs devem ser gerados no servidor que hospedará o certificado SSL?

Não. Não é necessário gerar o CSR na máquina na qual você deseja hospedar o certificado resultante. O CSR precisa ser gerado usando a chave privada existente com a qual o certificado será eventualmente emparelhado ou sua chave privada correspondente será gerada como parte do processo de criação do CSR.

O que é importante não é tanto o host de origem, mas que a chave privada e a chave pública resultante são um par correspondente.

O kce está certo, absolutamente não precisa ser feito na mesma máquina, mas precisa ser feito a partir da chave privada relevante.

A única razão pela qual estou postando uma segunda resposta é porque ninguém disse por que você pode querer fazer uma coisa dessas. Quase todos os conjuntos de chave / CSR que eu gero são feitos no meu laptop ou desktop, então a chave é copiada com segurança no servidor em que o certificado será instalado, e o CSR é enviado para a agência de assinatura. O motivo é a entropia: os certificados SSL são geralmente usados para proteger servidores, e os servidores geralmente têm pools de entropia muito rasa, o que enfraquece os principais pares que eles criam ou faz a criação demorar muito. Os desktops, por outro lado, têm uma fonte útil de aleatoriedade conectada via cabos de teclado / mouse e, portanto, tendem a ter pools de entropia profunda. Portanto, eles criam plataformas muito melhores para operações que exigem números aleatórios de alta qualidade, sendo a geração de par de chaves uma delas.

Assim, a chave / CSR não só pode ser gerada fora do servidor, como também é freqüente encontrar uma boa razão para fazê-lo.