Vagy nem jól írod, vagy nem jól csinálod. CA certet (és hozzá tartozó privát kulcsot) csak egyetlen egyszer kell (jellemzően kézzel) csinálni, és utána azt használod az összes "normál" cert aláírásához. Nem kell CA certet generálni újra és újra. Szerintem azt kellene csinálnod, hogy CSR-t generálsz a kliens részére, és aláíratod a már meglévő self-signed CA-ddal.
openssl_pkey_new() - új privát kulcs generálása a kliensnek
openssl_csr_new() - új CSR generálása, ehhez az előbbi pkey kell
openssl_csr_sign() - új cert előállítása a CSR-ből, ehhez az előző CSR kell, meg a CA cert-je és a CA privát kulcsa
Ha ez megvan, akkor az első lépésben készült pkey-t és az utolsó lépésben előállt certet kell a kliensnek átadnod (esetleg openssl_pkcs12_export()-tal előállítasz a kettőből egy állományt).