説明(書籍から一部引用)

PolicyMapping拡張領域により、証明書発行者は証明書ユーザーのドメインのポリシー識別子に対応する発行者のドメインのポリシー識別子を示すことができます。これにより発行者のドメインで使用されているOIDを証明書ユーザーのドメインのOIDにマップまたは変換できます。
PolicyMapping拡張領域はCA証明書内でのみ有効です。ポリシーマッピングは、さまざまなポリシードメインにあるポリシー局により定義された(ポリシー識別子で指定された)証明書ポリシー間の対応付けに使用されます。
ポリシーマッピングで示されるのは、証明書を発行する認証局が証明しようとしている証明書対象者である認証局が、発行認証局によって認識されたポリシー識別子と等価と見なされるポリシー識別子を持っていることを認識したということです。この拡張領域は証明書ポリシー識別子ペアのリストからなります。特別なポリシー識別子anyPolicyはポリシーマッピングでは無効です。
この拡張領域にはクリティカルの印がつくこともありますし、非クリティカルの印がつくこともあります。非クリティカルなポリシーマッピング拡張領域ということの意味が何を意味するのか完全には明白になっていないので、この拡張領域にはクリティカルの印をつけることが推奨されます。
この拡張領域には非クリティカルの印をつけなければなりません。

OpenSSLの設定例

設定ファイルには未定義だった。

# grep -i PolicyMapping openssl.cnf 
# 

個人的見解

誤記だろうか。クリティカルの印をつけるのが推奨とある直後に非クリティカルの印をつけなければならない、とは。
ポリシーを定義したCA証明書でCSRに署名するとき(openssl ca 実行時)に、CSRに含まれるDNの構成(OUの数等)がCAの証明書と異なる場合にエラーにするか、どこまで一致していないといけないかというのを定義できるが、それはPolicyFormatでこの設定とは別のようだ。いずれにしても、検証目的でしか使わないのであれば使用することはなさそうだ。