Вы не используете корневой сертификат для генерации CSR. Вы используете корневой сертификат и CSR для создания сертификата со знаком.
То, что необходимо сделать, должно генерировать CSR, как будто Вы покупали сторонний сертификат SSL и затем подписываете его сами вместо этого. Принятие Вас находится на поле Unix и имеет установленный openssl, Вы затем делаете:
openssl x509 -req -days <desired certificate life in days> \
-in <path/to/CSR> -signkey </path/to/privaterootcert> \
-out </path/to/signedcertificate>