在本示例中，有一个名为 RegionCA 的 CA，用于分散管理 Europe 和 Asia 的证书部署。EuropeCA 和 AsiaCA 均安装在 europe.contoso.com 和 asia.contoso.com 域的成员服务器上。AsiaCA 可以使用限定从属将证书的颁发限制在位于 asia.contoso.com 域中的安全主体(用户、计算机、服务)上。

　　要实现此目标，必须用下列设置将 AsiaCA 与 CAPolicy.inf 文件一起安装在 %SystemRoot% 文件中：

　　

[NameConstraintsExtension] 　　Include = NameConstraintsPermitted 　　Exclude = NameConstraintsExcluded 　　Critical = True 　　[NameConstraintsPermitted] 　　DNS = .asia.contoso.com 　　email = @asia. contoso.com 　　UPN = .asia.contoso.com 　　UPN = @asia.contoso.com 　　DIRECTORYNAME = "DC=asia,DC=contoso,DC=com 　　[NameConstraintsExcluded]

　　这些名称约束将只允许来自 asia.contoso.com 域的安全主体接收 AsiaCA 证书颁发机构颁发的证书。如果收到来自其他命名空间的安全主体的申请，这些申请则会由于配置名称约束的原因而遭到拒绝。

　　注意： 或者，如上所述，在定义约束类型时，AsiaCA 可以从 RegionCA 获得一个包含定义好的名称约束的从属 CA 证书。这两种方法均在颁发的证书中提供了必需的名称约束。

　　例如，图 6 显示了为 AsiaCA 准备的现成名称约束，用于限制仅将证书颁发到 asia.contoso.com 命名空间。

　　

　　图 6：在 AsiaCA 处应用名称约束

　　在本示例中，user3@asia.contoso.com 的证书申请获得了批准，因为 Noels UPN 包含在允许的名称约束中。相反，user5@europe.contoso.com 的申请则被拒绝，因为 UPN Europe.contoso.com 未列表在允许的名称约束中，并被视为排除的名称约束。

　　企业 CA 在证书申请过程中根据执行证书申请的验证安全主体强制执行名称约束。企业 CA 将使用安全主体的凭据从 Active Directory 中提取用户的名称，然后将这些名称与定义的名称约束进行比较。在这种情况下，user3 将登录到网络，并执行成功的证书申请。