http://www002.upp.so-net.ne.jp/h-yamamo/ipsec/racoon-rsa.html
./CA.pl -newca
./CA.pl -newreq-sign
中では
penssl genrsa -rand /var/log/messages -out ca.key 1024
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
とかしているはず、CRLは次の項目参照
demoCA証明書(xxxxxxxx.0)とCRL(xxxxxxxx.r0)、証明書(certNN.pem)、秘密鍵(privNN.pem)の4ファイルを配ります。CRLのファイル名はCA証明書のハッシュで対応付けられる