No, non è vero.
Il CSR definisce vari parametri per il certificato che stai richiedendo, come il nome comune, eventuali nomi alternativi, ecc. Tuttavia il CSR è, in definitiva, solo un file, e puoi fare tutte le solite cose del file con esso - come copiare o spostarlo su un altro server, se lo si desidera.
Non che sia richiesto molto. Il tuo certificato SSL che ricevi in risposta alla tua CSR (spesso con un file chiave e / o una "catena di certificati") è tutto ciò di cui hai bisogno. E puoi metterlo su tutte le macchine che vuoi, anche se nessuno di loro ha mai visto il CSR in primo luogo, per non parlare delle macchine di origine.
Caso in questione: gestisco un cluster di 5 server di posta elettronica (prossimamente deprecati), un altro cluster di 9 server di posta elettronica (che presto sostituiranno il primo), un paio di bilanciatori di carico BigIp, un cluster di 5 server Web e altro ancora - e tutti e più di 20 utilizzano esattamente lo stesso certificato, chiave e file di catena, ma non il CSR (diamine, i bilanciatori di carico non hanno nemmeno un'opzione nella loro GUI per caricare il CSR a tutti!). Il CSR che è stato utilizzato per ottenere questo certificato in primo luogo? La macchina che l'ha generata è stata dismessa poco tempo fa, portando con sé l'unica copia del CSR.
Ciò che non puoi fare, comunque (beh, non senza provocare errori in ogni caso) è usare il tuo certificato su un dominio diverso da quello indicato sul certificato; per esempio. se si dispone di un certificato per esempio.com, con un nome alternativo di example.net, non è possibile utilizzarlo su example.org. (Beh, tecnicamente potresti , ma riceverai errori di "certificato non valido" ogni volta che lo hai visitato.) Non potresti nemmeno usarlo su sub.example.com. Questo non ha nulla a che fare con il CSR se non quello in cui metti quei nomi in primo luogo, però.