您现在的位置: IT专家网 > WinSystem子站 > 技巧
Win2003规划和实现 交叉认证与限定从属(三)
作者: Brian Komar、David Cross, 出处:微软, 责任编辑: 韩博颖,
2008-06-20 08:00
本文为 PKI 管理员提供了执行 PKI 交叉认证、部署桥证书颁发机构 (CA) 和了解如何在 Windows Server 2003 中实现限定从属的技术参考和规划指南。
策略约束和策略约束映射
组织间的限定从属还可能需要为受信任的证书定义一些特定的策略约束。如果证书中没有包含指定的策略约束,应用程序就不应选择包含该证书的证书链。
策略约束的问题是对于每个 CA 层次结构,策略约束可能具有不同的名称,而且还将具有不同的对象标识符 (OID)。为了实现 CA 层次结构间的策略约束互操作,必须在 Policy.inf 文件中定义和映射策略约束。
例如,如果 BridgeCA 的作用只是允许在组织间传递中低确定性的证书,则必须在 CA 间颁发的每个交叉认证证书中定义策略约束。
对于由 BridgeCA 颁发给 CorpCA 的交叉证书颁发机构证书,Policy.inf 文件必须包含下列各行,以确定中低确定性的 OID。这些 OID 可以从“证书模板”控制台或从 IANA 中获得:
| [PolicyStatementExtension] Policies = MediumAssurance, LowAssurance CRITICAL = FALSE [MediumAssurance] OID = 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.401 [LowAssurance] OID = 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.400 |
| [PolicyMappingsExtension] 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.401 = 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.1990074901.2398624335 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.400 = 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.572751058.2135922791 critical = yEs |
若要完成策略映射,BridgeCA 中的 Policy.inf 文件必须包括以下各行,以接收 IssuingCA 的交叉证书颁发机构证书。
| [PolicyStatementExtension] Policies = SecLevel1, SecLevel2 CRITICAL = FALSE [SecLevel1] OID = 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.1990074901.239862 433 [SecLevel2] OID = 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.572751058.2135922 791 [PolicyMappingsExtension] 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.1990074901.239862 433 = 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.401 1.3.6.1.4.1.311.21.8.2812900009.1258984576.2698790533.44255976.572751058.2135922 791 = 1.3.6.1.4.1.311.21.8.1608391590.1259233725.355412102.3300744578.1.400 critical = yEs |
- 本文关键词:
- Windows
- Windows Server
