Sim, a opção genrsa é a chave que está sendo gerada no comando req . Para gerar a chave, acredito que você só precisa executar este comando:
$ openssl genrsa -out clientkey.pem
Sempre faço referência a esta página intitulada: Os comandos mais comuns do OpenSSL - SSL Shopper . Você pode ver nos exemplos que a chave para um CSR é RSA, você pode até controlar seu comprimento ao usar o comando req através do parâmetro rsa:2048 .
Exemplos:
-
Gere uma nova chave privada e uma Solicitação de assinatura de certificado
$ openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key -
Gerar uma solicitação de assinatura de certificado (CSR) para uma chave privada existente
$ openssl req -out CSR.csr -key privateKey.key -new
Acima, você notará o uso do privateKey.key da etapa anterior que está sendo usada para criar o CSR.