简介
限定从属是对证书颁发机构层次结构执行交叉认证的过程,该认证过程使用基本约束、策略约束、命名约束和应用程序约束来限制应从合作伙伴 CA 层次结构处或同一组织内的次要层次结构处接受哪些证书。在 Windows 2000 网络中无法实现 CA 层次结构上真正意义的交叉认证。唯一可行的备用方案是定义信任特定 CA 和限制证书使用的证书信任列表 (CTL)。通过使用限定从属,CA 管理员可以明确定义 CA 管理员组织信任的合作伙伴 PKI 所颁发的证书。限定从属还提供了在组织中根据策略规范划分和控制证书颁发的方法。本白皮书中将分别提供一些示例来对这两种方案进行阐释。
在本白皮书中,术语“限定从属”是指在实现基本约束、名称约束、应用程序约束、策略约束或混合约束的两 CA 间进行的交叉认证。有了这种认证,便可以根据 RFC 2459 以及后来 RFC 3280 中定义的规则和定义,来限制应信任合作伙伴或次要 CA 层次结构中的哪些证书。
内容范围
本白皮书的内容范围是描述使用限定从属控制多组织 PKI 层次结构间关系的方法。本白皮书描述了为定义 PKI 层次结构间关系而实现的各种约束,提供了限定从属方案以及执行限定从属过程的演练。
本白皮书中使用的术语
应用程序约束 限制限定从属配置中证书用途的约束。提供的证书中必须包含要求合作伙伴组织接受的应用程序约束。
颁发机构信息访问 (AIA) 包含可在其中检索颁发 CA 证书的 URL 位置的证书扩展。AIA 扩展可以包含 HTTP、FTP、LDAP 或 FILE URL。
颁发机构密钥标识符 (AKI) 供证书链接引擎使用的证书扩展,证书链接引擎可以使用该证书扩展来确定应使用哪个证书来签名所提交的证书。AKI 可以包含颁发者名称和序列号、公共密钥信息,或根本不包含任何信息。将证书 AKI 扩展中的信息与 CA 证书使用者密钥标识符 (SKI) 扩展中的信息进行匹配,即可以构建证书链。
CaPolicy.inf 一个配置文件,存储在 %SystemRoot% 文件夹中,在安装证书和续订 CA 证书时需用该文件定义 CA 的配置设置。
CRL 分发点 (CDP) 指示可从何处检索 CA 证书吊销列表的证书扩展。该扩展可包含多个 HTTP、FTP、File 或 LDAP URL,用于 CRL 的检索。
证书信任列表 (CTL) 限制证书使用的一种方法,该方法限制与指定 CA 相链接的证书仅可在一段时间内使用,或仅可用于特定用途。这种方法在 Windows 2000 网络中使用较为广泛。在 Windows Server 2003 环境中,限制组织间证书用途的首选方法是限定从属。