openssl: генерируйте запрос сертификата с подвергающимися альтернативными именами не-DNS

Вы можете указать практически все, что разрешено вашим CA.

Соответствующий RFC - RFC5280 . Об этом говорится в разделе 4.2.1.6. "Альтернативное имя субъекта"

Расширение альтернативного имени субъекта позволяет связывать идентификаторы к предмету сертификата. Эти личности могут быть включены в дополнение или вместо идентичности в предметной области сертификат. Определенные параметры включают электронную почту в Интернете адрес, DNS-имя, IP-адрес и унифицированный идентификатор ресурса (URI). Существуют и другие варианты, включая полностью локальные определения. Несколько форм имени и несколько экземпляров каждой формы имени МОГУТ быть включены. Всякий раз, когда такие личности должны быть связаны в сертификат, альтернативное имя субъекта (или альтернативный источник имя) ДОЛЖЕН использоваться расширение; однако DNS-имя МОЖЕТ быть представлен в поле темы с помощью атрибута domainComponent как описано в разделе 4.1.2.4. Обратите внимание, что где такие имена представленные в предметной области реализации не требуются для преобразовать их в имена DNS.

Вы должны прочитать оставшуюся часть этого раздела, а затем уточнить в своем центре сертификации, что они поддерживают. Стоит отметить, что ваш CA должен проверять правильность всех альтернативных имен субъектов.

Чтобы использовать адрес электронной почты, RFC говорит в разделе 4.1.2.6

Соответствующие реализации, генерирующие новые сертификаты с адреса электронной почты ДОЛЖНЫ использовать rfc822Name в теме альтернативное расширение имени (раздел 4.2.1.6) для описания такого идентичности. Одновременное включение атрибута emailAddress в отличительное имя субъекта для поддержки устаревших реализаций: устарело, но разрешено.

Поэтому вместо UPI следует использовать rfc822Name.