Por que preciso de um certificado para criar meu próprio certificado auto-assinado?

Nos últimos dias, eu estava tentando entender a história dos certificados e entendi o princípio principal deles, mas não entendi essa etapa quando criamos um certificado de autoridade de certificação para assinar meu próprio certificado de servidor.

Vou resumir aqui o que eu entendi sobre a criação de novos certificados para usá-los com os serviços no meu servidor e por favor me diga se está tudo certo e me ajude a entender os pontos que eu sinto falta ou não entendo:

1. Eu criei minha própria chave privada aleatoriamente ( server.key )

2. Eu gero minha chave pública de acordo com a chave pública anterior ( server.csr ), e esse arquivo é apenas um certificado normal, mas sem assinatura.

3. Repeti os dois últimos passos para obter ca.key e ca.csr . e deixe-os assinar-se de alguma forma para obter ca.crt (eu não entendo o processo de auto-assinatura aqui).

4. use-os para assinar meu server.csr para obter server.crt .

Agora, o que eu não entendo, se eu consegui autografar os arquivos na etapa 3, por que eu simplesmente não executei as duas primeiras etapas facilmente e deixei que eles se inscrevessem para obter esse servidor arquivo .crt ?

Acredito que entendi mal o processo de auto-assinatura, mas infelizmente vi muitos vídeos e li muitos artigos, mas nada ajudou a reparar isso.