stateOrProvinceName_default    = region

localityName                   = "3. Locality Name (eg, city)"

localityName_default           = city

0.organizationName             = "4. Organization Name (eg, company)"

0.organizationName_default     = organization

organizationalUnitName         = "5. Organizational Unit Name (eg, section)"

organizationalUnitName_default = Certificate Authority

commonName                     = "6. Common Name (eg, CA name)  "

commonName_max                 = 64

commonName_default             = ""

emailAddress                   = "7. Email Address (eg,cert@organization.ru)"

emailAddress_max               = 40

emailAddress_default           = ""

[ v3_req ]

subjectAltName                 = email:copy

basicConstraints               = CA:true

nsComment                      = "CA certificate of our organization"

nsCertType                     = sslCA

Теперь создаём сертификат сервера:

dd if=/dev/urandom of=/etc/openssl/.rnd count=64

openssl genrsa -rand /etc/openssl/.rnd -out /etc/openssl/httpd.key

openssl req -new -key /etc/openssl/httpd.key -config /etc/openssl/httpd.cnf -out /etc/openssl/httpd.csr

И подписываем его сертификатом организации:

openssl x509 -req -signkey /etc/openssl/org.key -CA /etc/openssl/org.crt -extfile /etc/openssl/httpd.conf

    -out /etc/openssl/httpd.crt -days 365

Опять же здесь нужны расширения для серверного сертификата, ещё учтите, что лучше задавать CN серверного сертификата как имя сервера:

extensions       = v3_req

[ v3_req ]

basicConstraints = CA:false

nsComment        = "Apache server certificate"

nsCertType       = server

И ещё одна тонкость: при создании секретного ключа сервера его лучше не шифровать. Хотя если это необходимо в соображениях безопасности, то можно и зашифровать, но при этом Apache при запуске будет спрашивать пароль секретного ключа сервера (на экране при этом ничего отображаться не будет, поэтому если вы долго ждёте запуска Apache при включенном ssl и зашифрованном ключе, попробуйте ввести пароль).