16.5. 使用跨Pair 证书

在上世纪九十年代，由于美国政府开始增强其公钥基础架构，它很明显，政府的分支也很明显，仍需要单独的 PKI 部署来识别和信任其他证书，就像 证书由自己的 CA 发布一样。（让外部客户端信任的证书在网络外信任的证书是非常严重的，无法轻松解决任何 PKI 管理员的问题。）

美国政府制定了标准，用于发布 跨对证书，称为联邦网桥证书颁发机构。由于明显的原因，这些证书也称为网桥证书。网桥或跨对证书是作为双证书对帧的 CA 签名证书，类似于用户的加密和签名证书对，只有对中的每个证书由不同的 CA 发布。两个合作伙伴 CA 都在其数据库中存储其他 CA 签名证书，因此其他 PKI 中发布的所有证书都是可信且被识别的。

桥接证书遵循由 CA 发布的证书，这些证书没有链接到自己的 PKI 中的 root CA。通过在证书证书证书间建立信任;System CA 和另一个 CA 通过跨对 CA 证书进行下载，从而下载并用于信任由其他 CA 发布的证书，只需下载并安装 CA 证书信任所有证书。

CertificateCertificate Systemnbsp;System 可以发出、导入和发布跨对 CA 证书。必须创建一个特殊的配置集，以发布跨对证书，然后使用 CA 子系统的证书向导来请求并安装 CA。

有关创建跨对证书配置集的更多信息，请参阅 红帽认证系统 9 规划、安装和部署指南中的 配置跨Pair 配置集 部分。

有关发布跨对证书的更多信息，请参阅 第 8.9 节 “发布跨Pair 证书”。