Die Doku bezieht sich vermutlich auf eine ältere Version von OpenSSL bzw. mit anderen eincompilierten Defaults.
Bin mir nicht sicher, ob es wirklich AES 128 sein muss. Falls doch, muss die Schreibweise aber stimmen. Mein openssl 1.1.1d unter Debian 10 Buster kennt z.B. kein zusammengeschriebenes “aes128” sondern “aes-128-cbc” und “aes-128-ecb” jeweils mit Minuszeichen. Und noch einen Haufen weiterer Ciphers, siehe Auflistung mit “openssl help”.
Wobei: Erst mit AES 128 verschlüsseln, im nächsten Schritt wieder die Passphrase entfernen = entschlüsseln? Entweder versteh ich da was falsch oder das ist überflüssig.
Die Gültigkeitsdauer in days gehört meines Wissens nicht zum Key sondern zum CSR. Jedenfalls meldet genrsa hier sonst ein Unrecognized flag days.
Zusammengefasst würde mein Befehl einfach folgendermaßen aussehen:
openssl genrsa -out serverkey.pem 2048