Подписать сертификат не в цепочке CA

Есть ли стандартное поле в SSL которое удостоверяло право или подтверждало выпуск сертификата.

Схема работы такая...

Сотрудник делает запрос в СА на выпуск. СА работает в автоматическом режиме. Но этот запрос подтверждается отдельно у отдела кадров, где кадровик электронно подписывает этот запрос и переправляет в СА. СА выпускает сертификат с отметкой кадровика. Но кадровик не является отдельным СА.

Нужно чтоб разрешение на выпуск сертификата можно было проверить по публичному ключу кадровика.

Можно конечно упаковать реквест в подписанный контейнер, а потом в зашить подпись в дополнительные поля сабжекта, но хочется "стандартное" место под это и проверять стандартными функиями openssl.