Нам понадобится Debian

Отредактируем файл конфигурации на свои значения:

nano /usr/lib/ssl/openssl.cnf

Данные указываются в разделе req_distinguished_name
Создадим ключ корневого сертификата:

openssl genrsa -out rootCA.key 2048

Далее корневой сертификат:

openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt
Отвечаем на все вопросы

Создаем ключ для клиента:

openssl genrsa -out all.key 2048

Создадим запрос на сертификат:

openssl req -new -key all.key -out all.csr
Указываем какому адресу выдаем (в примере all):
В Common Name (eg, YOUR name) []: *.1Side.ru
Вводим пароль на сертификат

Создаем v3.ext

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.1Side.ru
DNS.1 = *.1Side.AD

Все это хозяйство подписываем:

openssl x509 -req -in all.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out all.crt -days 10000 -extfile v3.ext

Создаем читаемый для хрома вид:

openssl pkcs12 -export -out all.pfx -inkey all.key -in all.crt -certfile rootCA.crt
Вводим пароль

rootCA.key нужно хранить в тайне, вы им подписываете сертификаты.

rootCA.crt раздаем всем и прописываем в системе как корневой сертификат (я раздаю через AD)

all.pfx импортируем в устройства, типа принтеров.
all.key и all.crt - для подписывания своих внутренних сайтов