Насколько я понимаю, вы используете закрытый ключ CA для подписи CSR, но почему все команды подписания CSR openssl должны указывать сертификат CA при подписании CSR, как показано ниже:
openssl x509 -req -days 360 - в server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt