向现有的 CA 层次结构添加新 CA

　　桥 CA 部署的这种设计允许向任融入组织的层次结构添加新 CA，而无需使用桥 CA 修改现有的限定从属。例如，如果将 Project CA 添加到 Northwind Traders CA 层次结构(如图 15 所示)，并遵守应用程序、命名和策略约束，则颁发给 user4 的证书将会受到 Northwind Traders、Fabrikam Inc. 和 Contoso Consulting 组织中计算机的信任。

　　图 15：向 Northwind Traders CA 层次结构添加新 CA

　　在这种情况下，对于 Northwind Traders 组织中的计算机，user4 证书将链接到 CorpCA 受信任根。

　　对于 Fabrikam Inc. 组织中的计算机，证书将链接到 OrgCA 受信任根。

　　最后，对于 Contoso Consulting 组织中的计算机，证书将链接到 PartnerCA 受信任根。

　　在桥 CA 中使用名称约束

　　为了防止其他组织的 CA 用贵组织命名空间的使用者名称创建证书，应创建名称约束来从整个 BridgeCA 信任的证书中排除该命名空间。

　　例如，对于从 CorpCA 颁发给 BridgeCA 的交叉证书颁发机构证书，可以将以下名称约束添加到 CorpCA 的 Policy.inf 文件中：

　　注意： 还可以为 NameConstraintsPermitted 定义附加的名称约束，以通过 BridgeCA 限制组织中允许的特定命名空间。