查看证书时是否应该能够看到 subjectAltName 选项？

Question

我已请求带有多个 subjectAltNames 的证书（适用于 IIS 7 上的 SSL）。我读到有些人可能不喜欢这样做，因为公众能够看到不同网站之间的链接。 （这并不重要，因为证书供内部使用）。但这表明我在查看证书时应该能够看到 subjectAltNames。我不能。

我应该能够看到他们吗？如果可以，在哪里？

Answer 1

是的 - 但这取决于您使用的证书查看器。

主题替代名称是证书的扩展。它仍然作为证书签名的一部分进行签名，但可能无法通过所有看到证书的事物来查看。它具体出现在哪里，在某种程度上取决于你如何看待它。它位于证书扩展中。通常它被限定为“主题备用名称”或“SubjectAltName”。

我刚刚在 XP 上测试了 IE 7.0，它可以显示主题 Alt 名称。它显示为详细项目之一。

此外，该网站将：

http://www.redkestrel.co.uk/cgi/解码Cert.pl

因为我之前已经从中获得了主题替代名称。它们出现在扩展部分。

如果它没有显示在那里，则证书可能是在没有它的情况下创建的，这意味着您需要返回证书颁发机构的所有者并重新创建名称。

另一个警告 - 并非所有产品都会处理主题替代名称。您需要分别测试每一项。我听说过许多产品无法识别或解析它的情况，然后抛出错误，因为SubjectDN 没有映射到主题替代名称。