Chaves SSL, CSRs e certs não estão vinculadas a uma determinada máquina. Você pode gerar a chave e o CSR em qualquer lugar que desejar e copiá-lo para o lugar quando a sua máquina de produção estiver pronta.
A VM de produção não será clonada por alguns dias, mas precisamos do arquivo CSR agora para comprar o certificado. Posso apenas criar a chave privada e o arquivo CSR em minha própria máquina, fornecer o arquivo CSR à autoridade de certificação para comprar o certificado e depois copiar os arquivos para a caixa de produção quando estiver pronto?
Ou o CSR precisa ser gerado na própria caixa de produção? Poderiam haver diferenças no openssl entre minha máquina e a VM de produção?
Você pode gerar o CSR em qualquer máquina que desejar, enviá-lo e reutilizá-lo.
Até mesmo os certificados SSL podem ser movidos de uma máquina para outra.