根 CA 间的交叉认证

　　如果组织愿意在两根 CA 间执行交叉认证，则可以使用图 8 中的配置。

　　图 8：配置根 CA 间的完全信任

　　在此示例中，每个组织的根 CA 都将与其他组织中的根 CA 进行交叉认证。要创建此配置，必须执行两次限定从属：

　　1.Contoso Consulting 的 PartnerCA 必须通过限定从属与 Northwind Traders 的 CorpCA 进行交叉认证。

　　2.Northwind Traders 的 CorpCA 必须通过限定从属与 Contoso Consulting 的 PartnerCA 进行交叉认证。

　　限定从属将要求实施下列配置：

　　•在每个根 CA 上配置 Policy.inf。Policy.inf 必须包含两组织间定义的所有名称约束、颁发约束和应用程序约束，并在交叉证书颁发机构证书申请期间使用，如“演练”部分所述。

　　•执行限定从属的用户帐户必须获得带有限定从属应用程序策略 OID 的证书，以签名两组织间的限定从属申请。对于第一个申请，必须从 CorpCA，或 CorpCA 和 PartnerCA 计算机所信任的任何 CA 处获得签名证书，对于第二个申请，必须从 PartnerCA，或 CorpCA 和 PartnerCA 计算机所信任的任何 CA 处获得签名证书。

　　图 8 中显示的配置允许将其中任意一个 CA 颁发的证书链接到各个组织所信任的根。例如，如果由 Northwind Traders 中的安全实体按如下方式进行验证的话，颁发给 User1 的证书将由 CorpCA 进行验证：

　　同样的证书如果要由 Contoso Consulting 组织中的计算机进行验证，便会由 PartnerCA 进行验证。