使用 Windows Server 2003 规划和实现交叉认证和限定从属

核心提示：简介限定从属是对证书颁发机构层次结构执行交叉认证的过程，该认证过程使用基本约束、策略约束、命名约束和应用程序约束来限制应从合作伙伴 CA 层次结构处或同一组织内的次要层次结构处接受哪些证书，使用 Windows Server 2003 规划和实现交叉认证和限定从属，在 Windows 2000 网络中无法实现 CA 层

简介
限定从属是对证书颁发机构层次结构执行交叉认证的过程，该认证过程使用基本约束、策略约束、命名约束和应用程序约束来限制应从合作伙伴 CA 层次结构处或同一组织内的次要层次结构处接受哪些证书。在 Windows 2000 网络中无法实现 CA 层次结构上真正意义的交叉认证。唯一可行的备用方案是定义信任特定 CA 和限制证书使用的证书信任列表 (CTL)。通过使用限定从属，CA 管理员可以明确定义 CA 管理员组织信任的合作伙伴 PKI 所颁发的证书。限定从属还提供了在组织中根据策略规范划分和控制证书颁发的方法。本白皮书中将分别提供一些示例来对这两种方案进行阐释。

在本白皮书中，术语“限定从属”是指在实现基本约束、名称约束、应用程序约束、策略约束或混合约束的两 CA 间进行的交叉认证。有了这种认证，便可以根据 RFC 2459 以及后来 RFC 3280 中定义的规则和定义，来限制应信任合作伙伴或次要 CA 层次结构中的哪些证书。

内容范围
本白皮书的内容范围是描述使用限定从属控制多组织 PKI 层次结构间关系的方法。本白皮书描述了为定义 PKI 层次结构间关系而实现的各种约束，提供了限定从属方案以及执行限定从属过程的演练。

本白皮书中使用的术语
应用程序约束 限制限定从属配置中证书用途的约束。提供的证书中必须包含要求合作伙伴组织接受的应用程序约束。

颁发机构信息访问 (AIA) 包含可在其中检索颁发 CA 证书的 URL 位置的证书扩展。AIA 扩展可以包含 HTTP、FTP、LDAP 或 FILE URL。

颁发机构密钥标识符 (AKI) 供证书链接引擎使用的证书扩展，证书链接引擎可以使用该证书扩展来确定应使用哪个证书来签名所提交的证书。AKI 可以包含颁发者名称和序列号、公共密钥信息，或根本不包含任何信息。将证书 AKI 扩展中的信息与 CA 证书使用者密钥标识符 (SKI) 扩展中的信息进行匹配，即可以构建证书链。

CaPolicy.inf 一个配置文件，存储在 %SystemRoot% 文件夹中，在安装证书和续订 CA 证书时需用该文件定义 CA 的配置设置。

CRL 分发点 (CDP) 指示可从何处检索 CA 证书吊销列表的证书扩展。该扩展可包含多个 HTTP、FTP、File 或 LDAP URL，用于 CRL 的检索。

证书信任列表 (CTL) 限制证书使用的一种方法，该方法限制与指定 CA 相链接的证书仅可在一段时间内使用，或仅可用于特定用途。这种方法在 Windows 2000 网络中使用较为广泛。在 Windows Server 2003 环境中，限制组织间证书用途的首选方法是限定从属。

证书吊销列表 (CRL) 由 CA 颁发的数字签名列表，其中包含该 CA 颁发的已被吊销的证书的列表。此列表包含证书的序列号、证书吊销日期和吊销原因。应用程序可以执行 CRL 检查，以确定所提交证书的吊销状态。

交叉认证 为与两个根 CA 相链接的 CA 颁发从属 CA 证书的过程。

交叉证书颁发机构证书 一个 CA 为另一个 CA 的签名密钥对（也就是为另一个 CA 的公共验证密钥）颁发的证书。

名称约束 名称约束，用于限制向 CA 所提交的证书申请中允许或排除的名称。

颁发策略约束 策略约束，用于定义受组织信任的证书所必须遵循的颁发实践。组织中的颁发策略对象标识符 (OID) 将被映射到合作伙伴组织中相匹配的对象标识符，以便于您的 PKI 能够识别所提交证书中的对象标识符。

Policy.inf 一个配置文件，在定义限定从属时需用该文件来定义要对 CA 证书应用的约束。

公钥基础结构 (PKI) PKI 为组织提供了在公共网络上使用公钥加密安全交换数据的能力。PKI 由颁发数字证书的 CA、存储证书的目录（包括 Windows 2000 和 Windows Server 2003 中的 Active Directory）以及颁发给网络上安全实体的 X.509 证书组成。PKI 提供了基于证书的凭据验证，并确保凭据不会被吊销、破坏或修改。

限定从属 用基本约束、名称约束、应用程序约束和颁发策略约束配置交叉认证，以控制合作伙伴组织可以信任的证书的过程。

阅读全文