如何实现双向的交叉认证证书?

每个CA只可能覆盖一定的作用范围，即CA的域，当隶属于不同CA的用户需要交换信息时，就需要引入交叉证书和交叉认证，这也是PKI必须完成的工作。

两个CA安全地交换密钥信息，这样每个CA都可以有效地验证另一方密钥的可信任性，我们称这样的过程为交叉认证。事实上，交叉认证是第三方信任的扩展，即一个CA的网络用户信任其他所有自己CA交叉认证的CA用户。

交叉认证可以是单向的，更常见的是双向的。根据X.509中术语，从CA1的观点来看，为它颁发的证书(也就是CA1作为主体而其他CA作为颁发者)叫做“正向交叉证书”，被它颁发的证书叫做“反向交叉证书”。如果一个X.500目录被用作证书资料库，那么正确的正/反向交叉证书可以被存储在相关的CA目录项的交叉证书结构中。

例如假设Alice已经被CA1认证持有可信的一份CA1的公钥，并且Bob已经被CA2认证持有可信的一份CA2的公钥。在CA1和CA2交叉认证之后，Alice的信任能够扩展到CA2的主体群(包括Bob)，反之亦然。

在交叉认证之前，两个CA都会去了解对方的安全策略，包括在CA内哪个人负责高层的安全职责。同时还可能要两个CA的代表签署一个具有法律依据的协议。在这些协议中会陈述双方需要的安全策略，并签字保证这些策略要切实实施。