D'après http://www.linux-france.org/prj/edu/archinet/systeme/x4005.html

On considère que le nom du host est

host=myhost.example.com
servername=myserver.example.com

• génération de la clé privée

openssl genrsa 1024 > /etc/ssl/private/$host.key

• création du fichier de demande de signature de certificat (CSR Certificate Signing Request)

#Attention à mettre la valeur de $servername (le ServerName apache ou le host smtp)
# à la question "Common Name (eg, YOUR name)"
# Ce sera le CN (Common Name) du certificat
openssl req -new -key /etc/ssl/private/$host.key > /etc/ssl/certs/$servername.csr

Il faut maintenant se créer sa propre autorité de certification

• génération de la clé privée pour l'autorité de certification (soi-même en l'occurence) (avec passphrase)

openssl genrsa -des3 1024 > /etc/ssl/private/myca.$host.key

• génération du certificat de l'autorité de certification (pour 10 ans histoire de pas recommancer tous les jours

# ne pas remettre le même host que précédemment
# Ce sera le champ O du certificat (Organisation)
openssl req -new -x509 -days 3650 -key /etc/ssl/private/myca.$host.key > /etc/ssl/certs/myca.$host.crt

Et signer son certificat

openssl x509 -req -in /etc/ssl/certs/$servername.csr -out /etc/ssl/certs/$servername.crt -CA /etc/ssl/certs/myca.$host.crt -CAkey /etc/ssl/private/myca.$host.key -CAcreateserial -CAserial ca.srl

Ensuite, il reste à préciser dans le ssl.conf d'apache les lignes

SSLCertificateFile /etc/ssl/certs/myserver.example.com.crt
SSLCertificateKeyFile /etc/ssl/private/myserver.example.com.key