openssl x509 Zertifikate erstellen. So richtig?

zwutz

Bei uns sind vor ein paar Tagen Zertifikate zum Signieren von Mails abgelaufen und ich durfte neue erstellen. Ist der Ablauf so richtig? Nicht, dass was falsch läuft und ich was Falsches rausschick. "Sollte klappen" ist nicht immer eine ausreichende Aussage

openssl genrsa -des3 -out xxx_sign_productivekey.pem 1024
openssl req -new -x509 -key xxx_sign_productivekey.pem -out xxx_sign_productive.ca -days 1095
openssl x509 -x509toreq -days 1095 -in xxx_sign_productive.ca -signkey xxx_sign_productivekey.pem -out xxx_sign_productive.req
openssl x509 -req -in xxx_sign_productive.req -CA xxx_sign_productive.ca -CAkey xxx_sign_productivekey.pem -CAcreateserial -out xxx_sign_productive.cer -days 1095

-- danach alles bis auf den private key (*.pem) und das Zertifikat (*.cer) wieder löschen

Die .cer ist dann natürlich das, was rausgeschickt wird

So ok?