图 16 显示了策略约束映射的另一示例。

　　

　　图 16：策略约束映射

　　在此图中，用 MillionDollar OID, 1.3.6.1.4.1.311.21.8.124 配置了 NorthwindCA。此 OID 被映射到 ContosoCA 中的 BigOrder OID, 1.3.6.4.1.204.22.33.44。虽然颁发给 v-user1 的证书包含不同于颁发给 user2 证书的颁发策略 OID，但策略约束映射使这些 OID 等价，因此这两个 CA 层次结构都可识别这些 OID。

　　应用程序策略

　　可在此方案中应用的最后一个策略是应用程序策略。应用程序策略将限制另一组织 CA 所颁发证书的用途。通过定义应用程序策略，可以防止组织接受和使用特定用途的证书。

　　例如，如果只希望用于 S/MIME、客户端身份验证和服务器身份验证用途的这些证书被 BridgeCA 所识别认可，便可以将以下部分添加到 Policy.inf 文件中：

　　

[ApplicationPolicyStatementExtension] 　　; list of user defined policies 　　Policies = AppOIDPolicy1, AppOIDPolicy2, AppOIDPolicy3 　　[AppOIDPolicy1] 　　OID = 1.3.6.1.5.5.7.3.4 ; Secure Email 　　[AppOIDPolicy2] 　　OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication 　　[AppOIDPolicy3] 　　OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication 　　CRITICAL = FALSE

　　这些应用程序策略可以防止在组织间使用 EFS 证书。EFS 证书不会按受信任的方式链接，因为定义的应用程序策略定义了一个 EFS 加密服务的应用程序策略。

　　注意： 切记，在将这些应用程序策略应用于从另一 CA 层次结构提交的证书时，还要结合名称约束和策略约束一起使用。如果需要不同组合，则必须为每个申请使用单独的 Policy.inf 文件申请多个交叉证书颁发机构证书。例如，您可能不希望为电子邮件证书的实施策略约束，但希望确保在客户端和服务器身份验证证书中存在中低确定性的 OID。这便会需要两个单独的交叉证书颁发机构证书申请 — 一个用于安全电子邮件，一个用于客户端和服务器身份验证。