История изменений

Скомпрометировали один сервис и имеем возможность расшифровки трафика остальных.

у нас тут и так всё работает на одном хосте и админет всё тот же человек. Так что данный пункт не особо актуален.

При росте нагрузки перенесли роль на другой сервер и получили проблему синхронизации сертификатов.

1) ТС планирует использовать бесплатный letsencrypt. Так что ему ничего не мешает слепить еще парочку бесплатных сертификатов.
2) ТС-у ничего не мешает скопировать на «другой сервер» сами сертификаты с приватными ключами.

Если у вас SubjectAlternativeName ассоцируется с уязвимостью, у вас странные понятия о безопасности.

Скомпрометировали один сервис и имеем возможность расшифровки трафика остальных.

у нас тут и так всё работает на одном хосте и админет всё тот же человек. Так что данный пункт не особо актуален.

При росте нагрузки перенесли роль на другой сервер и получили проблему синхронизации сертификатов.

1) ТС планирует использовать бесплатный letsencrypt. Так что ему ничего не мешает слепить еще парочку бесплатных сертификатов.
2) ТС-у ничего не мешает скопировать на «другой сервер» сами сертификаты с приватными ключами.