Se você armazenou a chave privada como arquivo PEM, você tem um arquivo que se parece com isto:
-----BEGIN RSA PRIVATE KEY-----
base64 encoded data
-----END RSA PRIVATE KEY-----
Este arquivo contém a chave pública e privada e a chave pública pode ser extraída executando
openssl pkey -pubout -in key.pem
Para criar uma nova autoridade de certificação com base nessa chave, basta seguir as instruções usuais . A única diferença é que você não cria uma nova chave, mas usa sua existente.
Ao criar a nova CA, certifique-se de usar exatamente as informações como no certificado original. Eles devem corresponder às informações do emissor nos certificados já gerados. Se eles não fizerem isso, a nova autoridade de certificação nem será considerada uma possível emissora do certificado de folha. Mas uma vez que essas informações coincidam, a validação deve ser bem-sucedida, porque a mesma chave foi assinada para usar o certificado.