IP 地址约束

　　IP 地址约束允许指定某 CA 可从限定从属 CA 成功接收证书的特定 IP 地址或 IP 地址范围。约束中 IP 地址的格式必须遵守 RFC 791(适用于 IPv4 地址)或 RFC 2460。

　　限定从属 CA 收到证书申请时，会将证书申请中的源 IP 地址和 IP 地址约束进行比较，以确定该 IP 地址是名称约束所允许的 IP 地址还是要排除的 IP 地址。

　　若要指定一个 IP 地址范围，必须在每个约束中同时指定 IP 地址及其相关的子网掩码。例如，如果要为 192.168.3.0 网络创建一个 IP 地址约束，那么该约束则应为 192.168.3.0/255.255.255.0。

　　IP 地址约束使用以下格式显示在允许或排除的名称约束中：

　　

IPADDRESS = 192.168.3.0/255.255.255.0 　　IPADDRESS = 192.168.2.254/255.255.255.255 　　IPADDRESS = 172.16.8.0/255.255.248.0

　　第一个约束包括 192.168.3.0 网络中的所有计算机。第二个约束是主机特定的约束，只包括 IP 地址为 192.168.2.254 的主机。最后一个约束是一个无类别 Internet 域路由 (CIDR) 示例，包括地址 172.16.8.1 和 172.16.15.254 间的所有主机。