Esto es correcto. openssl x509
es solo una herramienta para manipular y crear certificados, pero no es una CA independiente y no mantiene ningún estado. Mientras que openssl ca
se describe en la documentación como:
El comando ca es una aplicación de CA mínima . Se puede usar para firmar solicitudes de certificado en una variedad de formas y generar CRL. También mantiene una base de datos de texto de certificados emitidos y su estado .
Esta base de datos de texto incluye el archivo de índice al que también hace referencia.