Sí. Hay dos opciones: configúrelo en la solicitud y asegúrese de que se conserva al firmar (algo a lo que no le va a interesar una CA comercial); o establecer explícitamente durante la firma.
El DN (nombre distinguido) es un campo único en una solicitud o certificado. Es un nombre X.500, por lo que tiene uno o más componentes de pares de atributo / valor escritos. Este significado de "atributo" no es exactamente lo mismo que un "atributo" utilizado en una solicitud, esta parte de la documentación explica algunas de las distinciones.
(También hay una distinción entre X.509 atributos y extensiones , aquí está mi respuesta que muestra cómo hacerlo agregar extensiones arbitrarias a un certificado al firmar, que podría ser lo que necesita si desea agregar algo que no esté en el DN.)
Si desea componentes adicionales en el nombre del sujeto (DN), es más fácil use la opción -subj cuando genere la solicitud o cuando la firme. Si OpenSSL aún no conoce los tipos, puede usar los OID directamente o agregarlos a través de oid_file o oid_section en openssl.cnf .
Sin embargo, tenga en cuenta que los atributos que son ampliamente admitidos en un DN son limitados, consulte RFC 5280 §4.1. 2.4 (estas son las restricciones para el campo Emisor , pero §4.1.2.6 para el campo Asunto se refiere a esto para sus requisitos).
Si desea que se le pregunten durante el proceso normal de openssl req , puede agregarlos a [ req_distinguished_name ] (donde formarán parte del DN) o a [ req_attributes ] (donde entonces se convertirá en un atributo adicional en la solicitud, que probablemente sea menos útil para usted). Hay algunos ejemplos en la req documentation y en la documentación de extensiones .