应用名称约束

　　定义名称约束时，支持在 CAPolicy.inf 或 Policy.inf 中使用下列命名和寻址格式：

　　•相对可分辨名称

　　•DNS 域名称

　　•统一资源标识符 (URI)

　　•电子邮件地址和用户主体名称 (UPN)

　　•IP 地址

　　其他名称约束形式可使用其他名称形式来强制执行，这些名称形式可由 UTF8 或 ASN.1 编码的名称和 OID 进行标识。其他名称可用于表示标准名称类型(例如 Rfc822Name、DNS 或 X.500 目录名称)之外的名称。它由一个 OID 和一个二进制 blob 组成。最为常见的“其他名称”是通用主体名称 (UPN) 名称，这种名称具有一个作为 OID 的常数 OID_NT_PRINCIPAL_NAME。第 2 版“域电子邮件复制”模板证书和第 1 版“域控制器”证书有一个使用者替换名称扩展，其中包含一个常数 OID_NTDS_REPLICATION，作为其他名称类型，还有一个作为 blob 的 GUID，表示 DC。在 Windows 2000 的其他名称约束中只有 UPN。而在 Windows Server 2003 中，其他名称约束得到了扩展，甚至可支持域控制器 GUID。下面是其他名称约束的语法，其中第一部分是 OID，其后跟有一个标识符，用于其后的数据编码是 UTF8、octet，还是 SN.1：

　　

OtherName=1.2.3.4.99.100,{utf8}ssss 　　OtherName=1.2.3.4.99.101,{octet}ABCD 　　OtherName=1.2.3.4.99.102,"{asn}BAgAAQIDBAUGBw==" 　　OtherName=1.3.6.1.4.1.311.25.1

　　如果您用交叉林智能卡登录，而其他域具有 Windows 2000 域控制器时，那么在此方案下用这种表示法可能非常有用。在这种情况下，您可以提供一个额外的名称约束 "OtherName=1.3.6.1.4.1.311.25.1"，以允许所有域电子邮件复制证书，并使用 DNS 名称约束限制命名空间。将域控制器的 GUID 限制为另一个名称从技术上讲是可行的，但只是并非泛型约束，而只是一个域控制器的特定约束。

　　配置

　　名称约束一般在下列任一位置进行配置。创建新 CA 时，可以将 CAPolicy.inf 配置为强制执行名称约束，并以此方式为该 CA 定义名称约束。同样，如果创建限定从属 CA 证书，则可在 Policy.inf 文件中定义名称约束。在这两种情况下，均可以使用以下语法：

　

[NameConstraintsExtension] 　　Include = NameConstraintsPermitted 　　Exclude = NameConstraintsExcluded 　　Critical = TrUe 　　[NameConstraintsPermitted] 　　DNS = "" 　　email="" 　　UPN="" 　　[NameConstraintsExcluded] 　　DNS = .nwtraders.com 　　email = @nwtraders.com 　　UPN = .nwtraders.com 　　UPN = @nwtraders.com 　　URI = ftp://.nwtraders.com 　　DIRECTORYNAME = "DC=NWtraders, DC=com"

　　注意：[NameConstraintsExtension] 中的 critical = True 指示将这种扩展标记为关键。如果验证计算机无法解析该扩展，就必须拒绝该证书链。