重要： 即便实现了 BridgeCA，仍无法阻止参与桥 CA 结构的两个组织使用限定从属在其层次结构间定义单独关系。例如，虽然 Northwind Traders 和 Contoso Consulting 之间的电子邮件可能已通过桥 CA 的安全邮件证书验证，但两组织的 CA 间还可能建立了单独的限定从属，规定在两组织间签名交易额超过一百万的采购订单时，证书中必须存在特定策略约束。根据证书的属性，验证过程将根据证书的用途和两组织间定义的限定从属选择相应的证书链。

　　图 14 中显示了常见的桥 CA 部署设计。

　　图 14：使用桥 CA

　　在此设计中，在三个组织中的所有 CA 间建立了完全信任，遵从在限定从属中定义的所有名称、颁发和应用程序策略。

　　要实现这一目标，需定义限定从属，以便桥 CA 可从每个组织的从属企业 CA 接收定义所有应用程序、命名和策略约束的 subCA 证书。此外，每个组织中的根 CA 可以从桥 CA 接收定义所有应用程序、命名和策略约束的 subCA 证书。

　　注意： 也可以在每个组织和 BridgeCA 的根 CA 间执行交叉认证。具体采用哪种方法取决于每个组织使用桥 CA 的安全策略、组织是否愿意从其根 CA 向桥 CA 颁发交叉认证证书，以及根 CA 的 CRL 发布期限。

　　重要： CA 层次结构的交叉认证可能会创建很长的证书链，它会增加 IPSEC、安全邮件 (s/mime)、SSL 等等的网络流量大小。请善用警告，以避免增加链长度和整个证书链字节数，以防超过应用程序的限制。

　　查看来自三个组织的证书

　　其结果是在使用 BridgaeCA 实现限定从属所定义证书用途的组织之间实现了完全信任。只要颁发的证书满足所有定义的应用程序、名称和策略约束，那么该证书在所有以此方式连接到 Bridge CA 的组织中都将被视为有效。

　　在此示例中，对于 Northwind Traders 中的所有计算机，user1 证书将按如下方式链接到 CorpCA 受信任根：

　　对于 Fabrikam Inc. 中的所有计算机，user1 证书将按如下方式链接到 OrgCA 受信任根：

　　同样的证书，如果由 Contoso 组织中计算机的证书链接引擎来评估的话，其结果证书链将如下所示：

　　同样，user6 和 user2 的证书也将根据评估证书计算机所在的组织链接到这三个组织的受信任根。