* Por exemplo, todos os meus servidores nix possuem rsyslog, Bacula e Puppet sendo executados neles. O uso de um par de chaves comum e específico do servidor em todos os três serviços abre um vetor de ataque que estou negligenciando?
Eu não tive o prazer (dor?) de implantar uma PKI, mas lidei com certificados. Eu suspeito que o per-server ficará bem, desde que a criptografia que você está usando seja de alta qualidade (ou seja, não é um método mais antigo propenso a atacar e usar uma chave de bom tamanho).