つまり、
[internet] -- ( [VPN] -- [Server] )　とやりたいときに必要な証明書はVPNに対して発行（配置？）してやればいいのか、Serverに対して発行すればいいのかもしくは両方に配置すべきなのか、ということなんですけれども。

1台のピッシで内部的に転送してるのをVPNが肩代わりしてる構造に思えて、フロントエンド側（VPN）に配置だけで十分なのかなあと思ったりするけど...実際どうなのかしあｒ