Uma autoridade de certificação representa minha empresa ou um servidor?

Você deve usar a mesma autoridade de certificação e garantir que ela esteja protegida (como qualquer um que comprometa, ela poderá emitir certificados para ela e executar um ataque MITM). Você pode considerar colocar uma máquina off-line e usá-la apenas para essa finalidade.

Contanto que seja somente para uso interno, um certificado auto-assinado funcionará bem. Lembre-se de que você precisará instalar o certificado raiz da CA em todos os clientes.

Edit: quanto à questão no título, uma CA nunca representa um único servidor. Representa uma empresa ou um departamento. (Aqui "representa" é usado no significado de "é capaz de entregar certificados para").

Sua pergunta me assusta. De um modo geral, você não cria uma CA para serviços de VPN.

Você solicita que uma CA assine um CSR (Certificate Signing Request) para realizar um repúdio ao protocolo TLS que está tentando implementar.

Acredito que o que você está realmente perguntando é sobre um certificado x.509, ou especificamente 'Devo criar um certificado x.509 separado para cada servidor ou usar o mesmo?'

Se eu estiver correto e é isso que você está perguntando, você pode querer olhar para um tipo de 'certificado curinga'. Esse tipo permitirá que você crie e tenha assinado por uma CA (autoridade de certificação) apenas um certificado x.509 que pode ser usado em vários servidores.

CA é uma autoridade. Nem mais nem menos. Isso não está absolutamente vinculado ao servidor.

A CA é - em certa medida - o chefe muito grande. CA (está acima) > servidor (es) > cliente (s).

Além disso, se seus clientes puderem conectar dois servidores, sem exclusões e assim por diante, use apenas uma CA. Isso é perfeitamente normal.