5.1 證書策略

當證書認證機構簽發一張證書時，它就對證書使用者（依賴方）提供了一項聲明：一個特定的公鑰與一個特定實體（證書主體，通常也稱作訂戶）的身份相綁定。但是，依賴方應該在何種程度上信任CA的聲明，則需要由依賴方或者由控制、協調依賴方使用證書方式的實體來判斷。不同的證書在頒發時遵循了不同的業務實踐和程序，并且可能適用于不同的應用和（或）目的。

GB/T16264.8標準將證書策略定義為“一套指定的規則集，用以指明證書對一個特定團體和（或者）具有相同安全需求的應用類型的適用性。”一個GB/T16264.8證書可以指定一個特定的可用CP，依賴方可以根據該CP來判斷對于某個特定目的，是否信任該證書，以及公鑰或該公鑰所驗證的數字簽名。

CP可分為兩類。第一類CP “指明證書對一個特定團體的適用性”。這些CP設置了證書使用要求和對團體成員的要求。舉例見附錄A.1。

第二類CP“指明了證書對于具有相同安全需求的某類應用的適用性”。這些CP指明了應用或證書使用方式的集合，并且說明這些應用或使用方式需要一定的安全級別，然后設置了適用于這些應用或使用方式的PKI要求。相對于依照相關的CP頒發的證書，此類CP常常設置適用于證書所提供的特定保證級別的特定要求。這些保證等級可對應于多種類型的證書，舉例見附錄A.2。

在證書中，CP由唯一“對象標識符”（OID）表示。此OID，或者至少是一個“樹叉”，能夠被注冊。“樹叉”就是OID數字序列的開始部分，并且分配給一個特定的組織。注冊的過程要遵循ISO/IEC和ITU標準所指定的流程。注冊OID或“樹叉”的組織也要發布CP的文本定義，供依賴方審查。任何一個證書在頒發時都要聲明與某一個CP（或幾個CP，如果可能）相一致，這個聲明顯示在GB/T16264.8證書的證書策略擴展項中。當CA在一個證書的證書策略擴展項中設置了多個CP時，則CA就確保該證書能夠在任意所列CP下正當使用。

CP也形成了一個審計、認可或以其他方式評估CA的基礎。對每個CA，都可根據認為其要實現的一個或多個CP或CPS，對其進行評估。當一個CA為另一個CA簽發一張CA證書時，簽發CA必須對其所信任的主體CA的所有CP進行評估（這種評估也可以依據所涉及的證書策略進行）。然后，所有被評估的CP由簽發CA在CA證書中指明。GB/T16264.8證書認證路徑處理邏輯在定義好的信任模型中使用這些CP標識。