概述

　　限定从属允许组织将其 PKI 信任层次结构扩展到其他组织和同一组织中的次要层次结构。限定从属有时也被称为交叉认证。虽然在 Windows 2000 网络中也可以使用 CTL 来 PKI 信任扩展，但是，在定义两组织间的限制方式上，CTL 有一定的局限。而限定从属则提供了一种更为灵活，且更易于管理的信任机制。

　　在使用限定从属实现 PKI 信任扩展时，每个限定从属 CA 均可定义一些规则来执行以下操作：

　　•定义 PKI 层次结构将为其颁发和接受信任证书的命名空间

　　•指定限定从属 CA 所颁发证书的可接受用途

　　•定义颁发策略，限定从属 CA 在颁发证书时必须遵循这些策略，颁发的证书才有效。

　　•在单独的证书层次结构间创建托管信任

　　Windows Server 2003 Enterprise Edition 提供了在 CA 间配置限定从属所必需的工具，从而两组织可以定义两组织间证书的信任方式。这些工具包括：

　　•第 2 版的证书模板 允许 CA 管理修改证书模板，以满足其各自的业务目标。限定从属需要使用第 2 版的证书模板来包括策略约束。对第 2 版模板所做的修改可以包括：

　　•通过复制和重命名现有模板的方式创建新的证书模板

　　•修改模板属性，如证书有效期、续订期、加密服务提供程序 (CSP)、键大小和键存档设置

　　•建立和应用注册策略、颁发策略和应用程序策略

　　•交叉证书颁发机构证书 由一个 CA 向另一个 CA 颁发，以便在两个证书间建立限定从属的第 2 版证书模板。在签名交叉 CA 证书时使用的证书将强制执行证书中定义的约束。

　　•限定从属签名证书 这是必须手动创建的第 2 版证书模板;它包含限定从属应用程序策略 OID。本证书模板将对证书持有者是否获准签名交叉证书颁发机构证书进行验证。

　　•Certutil.exe 作为证书服务的一部分进行安装的命令行程序。该程序用于转储和显示 CA 配置信息、配置证书服务、备份和还原 CA 组件，以及验证证书、键对和证书链。

　　•Certreq.exe 作为证书服务的一部分进行安装的命令行程序。该程序用于从 CA 申请证书。在限定从属中，常用 certreq.exe 向颁发证书的 CA 申请交叉证书颁发机构证书。

　　了解约束

　　限定从属的关键是对限定从属 CA 或与限定从属 CA 相链接的 CA 所颁发的证书进行限制，通过约束来限制受组织信任的证书。这一目标可通过定义基本约束、名称约束、颁发策略约束或应用程序策略约束的方法来实现，具体的实现方法有两种：

　　•在安装 CA 的过程中定义约束。通过包含下面 CAPolicy.inf 文件中定义的各个部分，即可在安装 CA 的过程中或在续订证书的过程中于 CA 处定义基本约束、名称约束、颁发策略约束和应用程序策略约束。

　　•还可以在申请交叉证书的过程中，通过 Policy.inf 文件来定义约束。Policy.inf 文件可以定义要在交叉认证证书(用于定义限定从属)中实施的约束。