В конце концов я нашел ответ.
Секция CA_default файла openssl.cnf центра сертификации должна содержать
copy_entensions = copy
Тогда расширения в запросе копируются в сертификат.
Не представляется возможным ограничить это только записями subjectAltName.