约束类型

　　限定从属允许在交叉认证配置中应用约束。限定从属不是隐式信任另一组织 CA 层次结构颁发的所有 CA，它允许定义应用程序、命名和颁发约束。

　　例如，当在两组织间建立限定从属时，可能希望配置这样一些约束：

　　•应用程序策略 不是任何证书都信任，而是通过定义其他组织证书中所需的 OID，为颁发的 crossCA 证书定义特定的应用程序用途。例如，如果组织希望只接受来自合作伙伴的 S/MIME 证书，那么便可以将应用程序策略定义为只接受在应用程序策略扩展或 EKU 扩展中包含安全电子邮件 OID (1.3.6.1.5.5.7.3.4) 的证书。

　　•名称约束 无论何时在两组织间使用限定从属，颁发 CrossCA 证书的组织都应包含一个通过交叉认证排除其命名空间的名称约束。这可以防止合作伙伴组织使用其他组织的命名空间来提交证书。例如，Northwind Traders 可以实现一个名称约束，以防 Contoso 提交颁发给 Northwind Traders 用户的证书。换言之，如果 Contoso 层次结构中的 CA 颁发了一个包含使用者名称 user1@northwindtraders.com 的证书，名称约束便将排除 nortwindtraders.com 的电子邮件地址，并使该证书无效。

　　•策略约束 为了确保合作伙伴证书的信任级别，需要定义策略约束(有时也称为颁发策略)，并且必须将其作为证书的属性包含在要提交给合作伙伴组织等待接受的证书中。例如，如果在购买方/销售方关系中涉及两个合作伙伴组织，便可定义 Million Dollar 对象 ID。对于 1,000,000 美元或更多的采购，签名证书必须包含 Million Dollar OID。因为这两个组织都必须要定义 OID，因此 Policy.inf 文件必须将来自一个组织的 OID 映射到其他组织的 OID。同样，约束可应用于以下情形：确定是否可以将 OID 映射到其他 OID，或者是否必须从特定的 CA 颁发 OID，或限制交叉认证证书下多少层可以颁发包含 OID 的证书。

　　重要： 如果应用程序策略需要策略和名称约束的不同组合，可能需要执行多次限定从属。例如，如果您愿意接受所有的安全电子邮件证书，但只希望接受中高确定性 OID 的客户端和服务器身份验证证书，则必须定义两个单独的 Policy.inf 文件，而且必须执行两次限定从属处理 — 每个 Policy.inf 文件一次。这一操作结果会颁发两个单独的交叉证书颁发机构证书 — 一个用于安全电子邮件证书，一个用于客户端和服务器身份验证证书。这两个交叉认证证书最终都会因不同的用途而受到信任。在执行身份验证或授权决策时，应用程序将检验策略 OID。

　　创建多个组织间信任

　　当需要创建两个、三个或更多组织间的信任时，使用桥 CA 有时会更容易设计限定从属。桥 CA 将可作为每个组织中 CA 层次结构之间的一个链接。每个组织都将验证使用链接的其他组织(包括桥 CA)所颁发的证书。桥 CA 设计还降低了在信任中包含新组织时所涉及的复杂性。

　　桥 CA 在配置多组织间单独的信任关系上有许多的优点，其中包括

　　•桥 CA 降低了在存在三个或更多 CA 层次结构的情况下定义 CA 层次结构间信任的复杂性。

　　•更易于向现有桥 CA 信任关系添加附加组织。只需执行以下任务：

　　1.用限定从属从每个组织向桥 CA 颁发一个交叉认证证书。

　　2.从桥 CA 为新组织的根 CA 颁发一个交叉认证证书。

　　3.在所有其他组织中发布桥 CA 颁发的证书，以完成 BridgeCA 创建的信任网。

　　•桥 CA 可以提供一种按拥有公司管理分公司组织间信任的方法。