Я смотрю на пример эта страница:
$ openssl verify -verbose -CAfile cacert.pem server.crt
server.crt: OK
Что я использую как свой cacert.pem это мой (профессионально подписанный) корневой сертификат, объединенный с моим промежуточным сертификатом.
Мне не ясно, что server.crt есть или где я должен его взять.
server.crt сертификат вашего доверенного сервера, который доставляется после подписания запроса центром сертификации.
Итак, вы должны получить этот файл, когда отправите запрос на подпись (csr) в ваш CA. После подписания они отправят вам проверенный crt сертификат.