Пример конфигурации openssl root ca изOpenSSL Cookbook определяет следующее (p40):

[req]
...
req_extensions = ca_ext

[ca_ext]
...

Позже (стр. 43) генерируется корневой ключ ca, а затем корневой сертификат с собственной подписью.

openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key

openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext

Не является ли req_extensions избыточным в этом конкретном случае использования? Когда действительно нужно req_extension?