コード署名用の証明書はとりあえず以下のようなセクションをopenssl.confに書いて-extensions codeSigningのようにオプションを指定すれば作成できるようである。
[codeSigning] subjectKeyIdentifier = hash keyUsage = critical, digitalSignature authorityKeyIdentifier = keyid, issuer extendedKeyUsage = codeSigning
critical指定はお好みで。