Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's Encrypt, de faire la génération des certificats ailleurs que sur les machines de production qui les utiliseront. Déporter cette tâche ailleurs est même souvent une plutôt bonne idée.
+1 Un serveur de clés est une bonne pratique (les milis et autres services utilisent ce principe). Ici, via acmemgr.sh + acme.sh, qui sont isolés sur une instance dédiée, les clés sont générées puis maintenues et dispatchées via ssh à travers le réseau privé qui relie les serveurs et instances.