创建两组织间的信任

　　在第二个方案中，可以使用交叉认证，以在两组织间使用证书并信任彼此的证书。在两组织间执行交叉认证之前，必须决定的第一件事就是组织间应当信任哪些证书用途。您可能希望证书仅用于信任那些来自其他组织的安全电子邮件。或者允许安全电子邮件、客户端身份验证和服务器身份验证。

　　当在两组织的 CA 间配置限定从属时，必须在 Policy.inf 文件中确定并包含这一信息。

　　当在两组织间配置交叉认证时，还必须决定是信任其他组织 CA 层次结构中的所有 CA，还是只信任层次结构中的特定 CA 组。

　　重要： CA 层次结构的交叉认证可能会创建很长的证书链，它会增加 IPSEC、安全邮件 (s/mime)、SSL 等等的网络流量大小。请善用警告，以避免增加链长度和整个证书链字节数，以防超过应用程序的限制。

　　实现限定从属以信任所有 CA

　　在第一个示例中，将配置限定从属，以便其他组织可以信任两组织间的所有 CA。图 7 显示了两 CA 的层次结构。

　　图 7：两个不相连 CA 的层次结构

　　在本方案中，用户 1 和用户 2 具有使用 Outlook 和 S/MIME 交换安全电子邮件的业务需求。由于 Northwind Traders 和 Contoso Consulting 间互操作性的提高，因此决定使用限定从属以允许 Northwind Traders 和 Contoso Consulting 信任组织颁发的安全电子邮件证书。此外，单个 CA 层次结构中的任何 CA 都可以颁发安全电子邮件证书。

　　要实现此目标，可以使用两种不同的方法：

　　•根 CA 间的交叉认证

　　在此设计中，根 CA 将交叉认证证书颁发给其他层次结构的根 CA。这是交叉认证组织最简单的方法，也是了解何时排除限定从属问题的最简单方法。

　　•从属 CA 和根 CA 间的交叉认证

　　许多组织都不愿意将来自其根 CA 的证书颁发给其他组织的根 CA。在这种情况下，可以将从属 CA 颁发的交叉认证证书颁发给合作伙伴 CA 层次结构中的根 CA。

　　这两种方法都可以实现 CA 层次结构间的完全信任，同时还遵从 Policy.inf 文件中定义的约束。在这两种方法中进行选择的关键决定因素是组织是否愿意从根 CA 将交叉认证证书颁发给合作伙伴组织的根 CA。另一考虑因素是一般情况下根 CA 发布 CRL 的频率要低于从属 CA。如果存在吊销交叉证书颁发机构证书的可能性，那么首选方法是从从属 CA 颁发证书，而不要从根 CA。从属 CA 颁发的证书具有较少的滞后时间，滞后时间是指从证书被吊销到所有客户端都知道吊销事实之间的时间。