Wie verwalte ich am besten SSL Zertifikate für verschiedene Server?

Hallo zusammen

Bei mir zu Hause verwalte ich ein kleines Homelab mit einigen Diensten.
Die Dienste laufen auf eigenständigen Servern, oder werden mit Proxmox als VM oder Container bereitgestellt. Also ein gemischtes Setup. Nun bin ich aber etwas unschlüssig, wie ich die Zertifikate für meine Dienste verwalten soll.

Bevor ich bei Cloudflare war, hatte ich meine SSL Zertifikate auf dem Raspberry mittels certbot verwaltet.
Die Dienste waren auch alle zentral auf dem Raspberry gehostet. Daher war das kein Problem. Da hat alles zentral der RPI gemacht. Nun sind aber mehrere Server vorhanden.
Ich habe eine eigene Domain, welche auf meine IP Adresse zeigt. Die Dienste, wie z.B. Pi-Hole, Bookstack, Nextcloud etc. erreiche ich unter subdomain.domain.ch. Alle Dienste sind nur via Zero Trust von Cloudflare erreichbar.

Bei Proxmox gibt es ein Cloudflare plugin, welches mittels DNS Eintrag überprüft, ob die Domain mir gehört und generiert bei Erfolg dann auch ein Zertifikat. Das wäre dann für den Host: proxmox.domain.ch.

Was wäre die beste Herangehensweise, wenn ich für weitere Dienste ein SSL Zertifikat haben möchte? Vor allem, weil nicht alle Dienste auf dem gleichen Server laufen.

Soll ich auf dem Proxmox Server weitere Subdomainnamen eintragen bei der SSL Zertifikatanforderung und dann vom Proxmox Host die Zertifikate exportieren und dann auf die jeweiligen Server kopieren?

Oder wäre es besser, dass jeder Server nur für sich seine eigene Subdomain registriert und unabhängig von den anderen Subdomains verwaltet?

Wenn da jemand guten Rat hätte, wäre das toll. Irgendwie fehlt mir da der Überblick, oder das Wissen, was da die ‘best practice’ ist.

Viele Grüsse,

Simon