名称约束处理

　　当在限定从属规则下向从属 CA 提交证书申请时，证书申请中的所有名称形式都必须在允许的命名空间中。此外，使用者名称绝不能出现在被排除的命名空间中。系统会对“允许的名称”约束和“排除的名称”约束分别进行处理。

　　限定从属 CA 遵循下列规则：

　　•如果证书申请中的所有名称均与相应的允许名称约束成功匹配，证书申请则会成功。

　　•如果证书申请中的任何名称与相应的排除名称约束成功匹配，证书申请则不会成功。

　　•如果证书申请包含的名称既不与允许名称相匹配，也不与排除名称相匹配，则视该名称为排除名称，而申请也会失败。

　　•将标识使用者实体的名称与限定从属 CA 的名称约束进行比较时，遵循以下规则：

　　•如果名称或部分名称用 IA5 字符串编码，在比较时则不区分大小写。如果名称编码为 Unicode 或 UTF8 字符串，在比较时将是内容的二进制匹配。

　　•名称约束将应用于使用者名称字段和所有现有的使用者替换名称扩展。

　　•限定从属 CA 的“允许的名称”约束中不允许包括被其父 CA 排除的名称。例如，如果父 CA 排除了 DNS 名称 .microsoft.com，那么其限定从属 CA 则不能允许 DNS 子域 .example.microsoft.com 的存在。CA 将通过调用 CryptoAPI 来检查名称约束，以确保该 CA 链有效。

　　•名称约束将应用于最终证书的使用者和使用者替换名称扩展中所包含的全部名称。使用者或使用者替换名称扩展中的每个名称都必须匹配一个或多个为该名称类型列出的名称约束。与所列名称类型不匹配的使用者名称或使用者替换名称将会被拒绝。

　　•仅当证书申请中存在名称约束中指定的命名空间类型时，才可应用约束。如果证书申请中不包含任何指定类型的命名空间，则可以接受证书。例如，用下列名称约束配置 CA：

　　

[NameConstraintsExtension] 　　Include = NameConstraintsPermitted 　　Exclude = NameConstraintsExcluded 　　Critical = TrUe 　　[NameConstraintsPermitted] 　　DirectoryName = "DC=Microsoft, DC=Com" 　　email = @microsoft.com 　　UPN = .microsoft.com 　　UPN = @microsoft.com 　　[NameConstraintsExcluded]

　　在这个配置中，如果 CA 接收到包含 user1@northwindtraders.com 电子邮件名称的申请，该申请便会被拒绝。同样，如果使用者替换名称中包含 user1@northwindtraders.com，而使用者名称包含 CN=user1,OU=Contractors,DC=Microsoft,DC=Com 申请也会被拒绝。切记，每个使用者名称都必须与待发证书的名称约束完全匹配。以上提及的默认策略要求：如果不在证书颁发机构上配置名称约束，就必须定义所有名称。

　　注意： 如果没有指定允许或排除的名称，便会为这些名称约束格式创建一个通配符 (*) 名称约束。

　　当名称约束处理完成后，验证过程将产生下列一种结果：

　　•允许 最终证书包含的名称在颁发者名称约束扩展中被作为允许的名称列出。

　　•不允许 最终证书中包含的名称在颁发者名称约束扩展中未作为允许的名称列出。

　　•排除 最终证书中包含的名称在颁发者名称约束扩展中被作为排除的名称列出。

　　•未定义 颁发者证书没有列出特定名称类型(如目标名称或 IP 地址)的约束。

　　注意： 如果没有在 Policy.inf 文件中指定名称约束扩展，Windows Server 2003 CA 便会设置约束以允许特定名称类型的所有命名空间。