Для использования в масштабе всей системы OpenSSL должен предоставить Вам /etc/ssl/certs
и /etc/ssl/private
. Последний которого будет ограничен 700
кому: root:root
.
Если у Вас есть приложение, не выполняющее начальную букву privsep от root
затем это могло бы подойти Вам для определения местоположения их где-нибудь локальный для приложения с соответствующим образом ограниченным владением и полномочий.