使用 CAPolicy.inf 文件续订 CA 证书可确保在 CA 处定义颁发策略。此时，可以生成交叉证书，在两组织间执行策略映射。可以使用下列过程在两 CA 层次结构间执行限定从属：

　　1.确定要与之建立信任关系的组织。如果关系中存在的公司多于两个，那么必须成对定义信任关系。

　　2.通过与合作伙伴组织讨论，在信任关系中两组织使用的确定性级别间建立等价关系。

　　3.交换为信任关系中两组织所用的每个确定性级别定义的颁发策略对象标识符。

　　4.在每个 CA 的 Policy.inf 文件中映射各个组织的颁发策略对象标识符，并为组织中要安装的限定从属 CA 定义 CA 证书申请的策略约束。

　　5.安装带有策略、策略映射以及要在组织中应用的策略约束的限定从属 CA。

　　当组织中的某个用户或计算机(其中存在颁发 CA))收到组织中另一用户(其中存在使用者 CA)所签名的文件时，将用限定从属路径将证书链接到颁发 CA 中的根 CA。如果证书中颁发策略的对象标识符映射到组织中所需颁发策略的对象 ID，证书链则被视为有效。如果颁发 CA 组织中的用户或计算机收到包含非映射对象标识符的证书，验证过程则会为证书链分配一个较小的值，而且应用程序通常会拒绝该证书。

　　限制策略映射以防止意外信任

　　通过定义参数可以进一步限制策略，这些参数可以定义在限定从属中定义的颁发策略将如何影响限定从属 CA 下的其他 CA。有两个可以定义关系的设置：

　　•需要显式策略 指定在带有策略约束扩展的证书下的层次结构中可存在证书的数量。例如，如果用值 3 来配置显式策略，则表示定义的颁发策略必须存在三层 CA 这样一个层次结构，在这种情况下，限定从属被定义为第一层。

　　•抑制策略映射 指定可在路径中出现的额外证书的数量，一旦超过此数量，便不再允许策略映射。如果抑制策略映射的值为 3，则限制仅可对限定从属 CA 下三层 CA 范围内的 CA 应用策略映射。

　　这些设置可防止出现意外的信任关系。例如，图 3 显示了先前在 Northwind Traders 和 Contoso Consulting 间配置的限定从属，同时还在 Fabrikam Corporation 处添加了一个新的 CA。

　　图 3：防止意外信任

　　如果在 Contoso Consulting CA 和 Fabrikam Corp CA 间配置限定从属，将 BigOrder 颁发策略映射到 SpecialSig 颁发策略，那么，Northwind Traders CA 便有可能接受 Fabrikam Corp CA 颁发的证书。这是因为 SpecialSig 的 OID 首先被映射到了 BigOrder OID。然后，BigOrder OID 又被映射到 MillionDollar OID。

　　通过在 Northwind Traders CA 处配置下列“策略约束扩展”可以防止这一行为的出现。