对于在两个根 CA 间建立交叉认证的模型，这种设计还允许在每个组织的 CA 层次结构中安装新的 CA 信任。图 11 显示了如何在 Northwind Traders 中添加新 CA。

　　图 11：向该层次结构添加一个附加 CA

　　在这种情况下，颁发给 User4 的证书在这两个组织中都会受到信任。在 Northwind Traders 中，证书链接到 CorpCA 根 CA。

　　而在 Contoso Consulting 中，证书会链接到受信任的 PartnerCA。

　　实现限定从属以将信任限制到特定 CA

　　在某些情况下，两组织可能都希望将交叉认证限制到特定的 CA，或 CA 层次结构的特定部分，例如，在组织使用外部咨询服务的方案中即是如此。组织 (Northwind Traders) 和咨询公司 (Contoso) 可能希望将交叉认证限制到层次结构中的特定 CA。

　　图 12 显示了执行限定从属以限制组织特定 CA 间信任的方案。

　　图 12：配置受限制的信任关系

　　借助于此配置，IssuingCA 和 PolicyCA 颁发的证书将由两组织中受信任的根 CA 进行验证。

　　在 Northwind Traders，颁发给 user1 的证书将按如下方式链接：

　　颁发给 user2 的证书将按如下方式链接：