13.4. 使用跨对证书

在第 1990 年代末，因为美国政府开始增强其公钥基础架构，这变得很明显，具有自己的政府分支，仍需要单独的 PKI 部署能够识别和信任其他证书，就像 证书来自其自己的 CA 一样。（在网络外部获取可信证书以供外部客户端使用的方法非常严重，对于任何 PKI 管理员无法轻松解决问题。）

美国政府设计了一个发布 跨对证书 的标准，称为联邦网桥证书颁发机构。由于明显的原因，这些证书也称为网桥证书。网桥或跨对证书是作为双证书对帧的 CA 签名证书，类似于用户的加密和解密对，只有对中的每个证书由不同的 CA 发布。两种合作伙伴 CA 将其他 CA 签名证书存储在其数据库中，因此其他 PKI 中发布的所有证书均受信任和认可。

桥接证书遵循 CA 发布的证书，该证书没有链接到其自身 PKI 中的 root CA。通过跨对 CA 证书在证书系统 CA 和另一个 CA 之间建立信任，可以下载跨对证书，并用来信任其他 CA 发布的证书，就像下载和安装单个 CA 证书信任 CA 发布的所有证书一样。

证书系统可以发布、导入和发布跨对 CA 证书。必须创建一个特殊配置文件来发布跨对证书，然后使用 CA 子系统的 Certificate 向导请求和安装 CA 的证书。

有关创建跨对证书配置文件的更多信息，请参阅 规划、安装和部署指南(Common criteria Edition) 中的 配置跨Pair 配置集。

有关发布跨对证书的更多信息，请参阅 第 7.8 节 “发布跨对证书”。

/usr/lib[64]/mozldap/ldapsearch -D "cn=directory manager" -w secret -p 389 -h server.example.com -b "o=server.example.com-pki-ca" -s sub "(crossCertificatePair=*)"