在从属 CA 和根 CA 之间执行交叉认证

　　通过从 CA 层次结构的从属 CA 处颁发交叉证书颁发机构证书，可以在两组织间建立相同级别的信任。对于以下几种情形，建议使用此策略：组织的安全策略禁止根 CA 颁发交叉证书颁发机构证书、组织不希望在根 CA 处颁发交叉认证证书，或者存在吊销 crossCA 证书的可能性，并且根 CA 的 CRL 发布周期较长。在这些情况下，可以使用图 10 所示的配置来在两个 CA 层次结构间遵循定义的限定从属约束创建完全信任。

　　图 10：配置从属 CA 与根 CA 之间的完全信任

　　在本示例中，每个组织的根 CA 都要与其他组织中的从属企业 CA 进行交叉认证。若要创建此配置，必须执行两次限定从属：

　　1.Contoso Consulting 的 PartnerCA 必须通过限定从属与 Northwind Traders 的 IssuingCA 进行交叉认证。

　　2.Northwind Traders 的 CorpCA 必须通过限定从属与 Contoso Consulting 的 PolicyCA 进行交叉认证。

　　限定从属要求实施下列配置：

　　•在每个从属 CA 上配置 Policy.inf。Policy.inf 必须包含两组织间定义的所有名称约束、颁发约束和应用程序约束，并在交叉证书颁发机构证书申请期间使用，如“演练”部分所述。

　　•执行限定从属的用户帐户必须获得带有限定从属应用程序策略 OID 的证书，以签名两组织间的限定从属申请。对于第一个申请，必须从 IssuingCA，或 CorpCA 和 PartnerCA 计算机所信任的任何 CA 处获得签名证书，对于第二个申请，必须从 PolicyCA，或 CorpCA 和 PartnerCA 计算机所信任的任何 CA 处获得签名证书。

　　下面的配置允许将 CA 颁发的证书链接到各个组织所信任的根。例如，如果证书 Northwind Traders 处的安全主体进行验证，则颁发给 User1 的证书将由 CorpCA 进行验证。

　　同样的证书如果要由 Contoso Consulting 组织中的计算机进行验证，便会由 PartnerCA 进行验证。

　　同样，颁发给 User2 的证书将链接到每个组织中的受信任根。如果证书由 Northwind Traders 中的计算机进行验证，证书链将如下所示：

　　不过，同样的证书由 Contoso Consulting 组织中的计算机进行验证时，将由 PartnerCA 根 CA 进行验证。

　　注意： 在所有交叉认证设计中，单个的证书将根据组织中验证证书的计算机链接到不同的根。在这两个示例中，由 Contoso Consulting 中的计算机验证的证书将链接到 PartnerCA 根，而由 Northwind Traders 中的计算机验证的证书则将链接到 CorpCA 根。