在 Contoso Consulting，证书将与作为受信任的根 CA 与 PartnerCA 进行链接。对于 user1 证书，验证过程将选择以下证书链：

　　对于 user2 证书，验证过程还将选择链接到 PartnerCA 根 CA 的证书链。

　　仔细查看添加到 Northwind Traders CA 层次结构中的附加 CA，您会看到这种限定从属设计与允许两层次结构中 CA 间完全信任设计之间有哪些主要不同之处，如图 13 所示。

　　图 13：向该层次结构添加一个附加 CA

　　在这种情况下，ProjectCA 被添加到了 Northwind Traders CA 层次结构之中。对于 Northwind Traders 网络中的计算机，颁发给 user4 的证书是有效的，在为它链接到了受信任的根 CA：CorpCA。

　　在向 Contoso Consulting 组织中的计算机提供 user4 证书时，只能构建部分证书链，而且该链无法在受信任的根证书中终止。