Se o seu comando OpenSSL for este:
openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout SUBDOMAIN_DOMAIN_TLD.key -out SUBDOMAIN_DOMAIN_TLD.csr
Em seguida, SUBDOMAIN_DOMAIN_TLD.key e SUBDOMAIN_DOMAIN_TLD.csr serão gerados na mesma pasta / diretório em que você estiver. As opções -keyout e -out estão simplesmente configurando um caminho de arquivo, então SUBDOMAIN_DOMAIN_TLD.key e SUBDOMAIN_DOMAIN_TLD.csr serão escrito para o seu caminho atual.
Lembre-se, ferramentas como o OpenSSL não são mágicas. Os arquivos de texto de criação que podem conter o que parece ser hashes mágicos. Mas, em um nível operacional, são apenas arquivos de texto com dados neles. Onde você coloca esses arquivos são com você.
Portanto, se você os criar em sua própria pasta de usuário e quiser usá-los para SSL em um servidor da Web Apache, terá que decidir sobre um local sólido, seguro e final para colocá-los como referência.
No caso da CSR (Solicitação de assinatura de certificado) que só seria realmente usada para assinar o certificado com o entidade que você está comprando um certificado SSL de; é apenas uma assinatura digital. Você assina o certificado com o CSR através de qualquer interface web que ele tenha, depois de passar por alguns aros e pagá-los, você obterá CRT e possivelmente precisará de um arquivo PEM - como em serviços como o Gandi - e defini-los com o seu arquivo KEY permitirá que você ative o SSL no Apache ... ou qualquer aplicativo que você esteja usando o certificado com.