Ogni volta che devo aggiornare un certificato devo andare a recuperare come fare… Questa volta poi ho scoperto che thunderbird si lamentava del seriale non univoco del nuovo certificato percui ho scoperto anche il parametro -set_serial :-)

per generare il certificato e la chiave privata:
openssl req -new -x509 -nodes -out dovecot.crt -keyout dovecot.key -set_serial 01 -days 365

per verificarne il contenuto:
openssl x509 -text -in dovecot.crt

La procedura è ovviamete la stessa anche per apache.

In caso si abbia un certificato con passphrase e la si voglia eliminare:
openssl rsa -in server.key -out server-without-pass.key