SSL証明書のカスタムデータ

まあ、私はCAに連絡して、彼らがそれを行うかどうか尋ねます。彼らはそれをすることができ、あなたが十分に支払えば多分それをする用意があるでしょう。ブラウザーが理解できない重要でないフィールドは無視され、CAによって追加される可能性があります。問題は、彼らがそれをするかどうか、そして彼らだけが答えることができるかどうかです。

一部のCPSは、重要ではない拡張機能を追加する可能性についても言及しており（これらはプライベートにすることもできます）、もちろん重要なプライベート拡張機能を追加することはできません（ https://www.digicert.com/docs/cps/DigiCert_CP_v409-1 -June-2015-signed.pdf -7.1.2）。それをしたいというだけの問題です。

発行者CAは、RFC 3280/5280を含む該当する業界標準に従って証明書拡張を使用するものとします。発行者CAは、重要なプライベート拡張を伴う証明書を発行してはならない。

しかし、おそらくあなたが望むことを行う正しい方法は、属性証明書を使用することです。あなたが制御し、SSL証明書にACを発行する属性証明書発行者がいて、必要な追加の属性をあなただけが理解できるようにすることができます。 TLSは、これらのACをクライアントに提供することをサポートしています。または、すでに作成されているSSLトンネルを使用して後者を送信し、必要に応じてクライアントがそれらを解釈することができます。

あなたは尋ねました：

多分subjectAltNameのotherName部分？

いいえ、ありません。サブジェクトの代替名（SAN）フィールドはブラウザによって読み取られ、中間者（MITM）攻撃を実行するために使用できるため、CAはSANフィールド。

X.509証明書標準を定義する RFC 528 、具体的には セクション4.2証明書拡張 を示します。一般的なテキストを許可する標準の拡張機能は表示されませんが、次の専門家は興味深いです（私の強調）。

X.509 v3証明書形式を使用すると、コミュニティはプライベート拡張を定義して、それらのコミュニティに固有の情報を伝達することもできます。証明書の各拡張は、クリティカルとして指定されますまたは非重要。証明書を使用するシステムは、認識できない重要な拡張、または処理できない情報を含む重要な拡張を検出した場合、証明書を拒否する必要があります。クリティカルでない拡張は、認識されない場合は無視される場合がありますが、認識される場合は処理する必要があります。次のセクションでは、インターネット証明書で使用される推奨拡張機能と、情報の標準的な場所を示します。 コミュニティは追加の拡張機能を使用することを選択する場合があります

あなたが言った：

カスタムデータを含むCSRを作成する方法は知っていますが、CSRのどのフィールドが変更されずに最終的なサーバー証明書にコピーされるのかわかりません。

このサイトの誰もあなたのためにそれに答えることができません。 RFC 421 によると、CAは重要でない拡張機能を自由に変更することが許可されています（そしてgrantedWithMods PKIStatusで証明書を返します）。コメントで述べたように、これは特定のCAと交渉する必要があるものです。