Политика предмета выпускающего в самоподписанном сертификате CA

Вот определения из RFC 5280 (раздел 3.2) :

  Самостоятельно выданные сертификаты - это сертификаты ЦС, в которых
эмитент и субъект - одно и то же лицо. Самостоятельно выданные сертификаты
создаются для поддержки изменений в политике или операциях. Самостоятельно
 подписанные сертификаты - это самостоятельно выданные сертификаты, в которых цифровой
 подпись может быть проверена открытым ключом, привязанным к
сертификат. Самоподписанные сертификаты используются для передачи общедоступных
 ключ для использования, чтобы начать пути сертификации.

Так что да, по определению, поскольку самозаверяющий сертификат является особым самостоятельно выданным сертификатом, его DN эмитента должен соответствовать его DN субъекта.

(Должен ли этот DN субъекта быть в CSR - другой вопрос. поскольку (а) центры сертификации не обязаны хранить точное DN субъекта при преобразовании CSR в сертификат (фактически, они должны проверять все, что они помещают в сертификат, другими способами) и (б) шаги, которые превращают CSR в самозаверяющий сертификат больше связан с тем, как openssl используется для этого и как он настроен. На самом деле это всего лишь деталь.)

Хотите ли вы, чтобы ваш собственный CA был самозаверяющим. подписанный или выданный самостоятельно - на ваш выбор. В целом это имеет смысл (по крайней мере, для ясности). В принципе, сертификаты CA, используемые в качестве якорей доверия удаленными сторонами, не обязательно должны быть самоподписанными (см. Раздел 6):

  Выбор якоря доверия является вопросом политики: он может быть
 верхний CA в иерархической PKI, CA, который выдал верификатору
собственный сертификат (сертификаты) или любой другой CA в сетевой PKI. Путь
 процедура валидации одинакова независимо от выбора траста
 якорь.