Debian9でやってみた
cd /etc/ssl
/usr/lib/ssl/misc/CA.pl -newca
/usr/lib/ssl/misc/CA.pl -newreq
/usr/lib/ssl/misc/CA.pl -sign
# /tmp/ca.pemを入れてもらう
openssl x509 -outform PEM -in demoCA/cacert.pem -out /tmp/ca.pem
# 変換
openssl x509 -outform PEM -in newcert.pem -out /etc/nginx/ssl/hogehoge.crt
# パスフレーズ解除
openssl rsa -in newkey.pem -out /etc/nginx/ssl/hogehoge.key
データベースおかしくなったら
index.txt空っぽすればOK
rm demoCA/index.txt
touch demoCA/index.txt
/etc/ssl/openssl.cnf は こんな感じ
証明書の管理は
chromeなら設定 => 詳細設定 => SSLの管理からやる
windowsの場合はファイル名を指定して実行 => certlm.msc と同じこと
あと注意点として、chromeはsubjectAltNameを見るので注意
(EnableCommonNameFallbackForLocalAnchorsってやつを設定するとできるようだけど)