Zertifikate für Linux Webserver von Windows-CA - wie vorgehen?

Hallo zusammen,

ich habe hier ein paar Geräte und Linux-VMs die für die Web-Adminoberfläche Zertifikate von einer Windows-CA bekommen sollen. Wie ich einen Zertifikat-Request erzeuge, das Zertifikat ausstelle und in das passende Zertifikatformat umwandle weiß ich. Wobei ich hier eigentlich die Erzeugung des requests über Openssl präferiere (hab das mit certreq -new noch nicht so oft gemacht... wäre aber egal).

Aber wie sollte man das praktisch machen, damit der Ablauf möglichst sicher ist? Folgende Varianten sind aus meiner Sicht möglich:

• Variante "Alles auf dem Server mit der Zertifzierungsstelle", Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
• Variante "Zertifikatrequest auf dem Webserver erzeugen", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
• Variante "Eigener Rechner für die Erzeugung der Certifikatsrequests", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner

Die erste und die letzte Variante hätten den Vorteil, das man die verschiedenen Anforderungen für die gesamte Infrastruktur auf einem zentralen System als Skript ablegen könnte, was die Administration vereinfacht. Oder ist das ein Nachteil? Variante 3 geht ja eh nicht für Switches, NAS & Co.

Prinzipiell bin ich mir auch nicht sicher, ob es einen Unterschied macht, die privaten Schlüssel & Zertifikatrequests für Nicht-Windows-Systeme mit openssl oder Windows certreq zu erzeugen.

Oder ist das alles egal?

Grüße

lcer

PS: Falls es eine Rolle spielt - Server 2012R2 AD, Debian und diverse managed Hardware