Como vejo ninguém ter respondido a essa pergunta ... parece que sim, isso é uma coisa razoável a fazer e, desde que você corresponda aos campos usados no certificado gerado automaticamente, ele funciona. Já faz muito tempo desde que consertei isso agora, então não consigo me lembrar de todos os detalhes. A única coisa que lembro é que, naquele momento, o OpenDirectory se recusaria a trabalhar com um certificado que tivesse um número de série de 128 bits. O OS X Server 5.0 é a primeira versão em que aparentemente é possível corrigir isso.
Eu tenho uma configuração do OpenSSL que funciona para essa finalidade, a qual tentarei higienizar a ponto de poder ser postada aqui se houver demanda.
Descodificador de certificados do Red Kestrel (em link - outras coisas úteis em link ) foi extremamente útil para determinar qual seria a configuração real necessária e para identificar o problema com o campo serial.