CA.shを探して利用する

# /usr/local/misc/CA.sh -newca
./demoCA/cacert.pem: CAの自己署名証明書
./demoCA/careq.pem: CAの署名要求
./demoCA/private/cakey.pem: CAの秘密鍵

一応rootだけCAの秘密鍵を読めるようにする

# chmod 400 ./demoCA/private/cakey.pem

署名要求(CSR)を作成

# /usr/loca/misc/CA.sh -newreq
./newkey.pem: サーバの秘密鍵
./newreq.pem: サーバの署名要求

このままだとSSLアプリ起動毎にパスフレーズ求められて面倒なので
それを解除するために秘密鍵を更新
# openssl rsa -in newkey.pem -out server.key

自己CAに署名してもらう

# /usr/local/misc/CA.sh -sign
./newcert.pem: サーバの証明書

X509形式に変更
# openssl x509 -in newcert.pem -out server.crt

これで出来上がり（server.keyとserver.crt）
CAのディレクトリ等変更したければ/etc/ssl/openssl.cnfをいじる