5.2 GB/T16264.8證書域

5.2.1　證書策略擴展項

證書策略擴展項中列舉了證書認證機構聲明該證書適用的CP。附錄A中給出了國際航空運輸聯盟(IATA) 所定義的普通CP和商業級CP的例子，在對常規雇員所頒發的證書中可包含普通CP的對象標識符，通過專門分配機構發給雇員的證書可同時包含普通CP和商業級CP的對象標識符。在證書中同時包含這兩個對象標識符意味著該證書既可用于普通CP，也可用于商業級CP。在證書策略擴展項中還可以包括對每個CP的限定值，關于限定符的使用將在5.2.5條中討論。

在處理證書認證路徑時，一個CP必須在路徑中每個證書中都出現，包括CA證書和實體證書，才能被依賴方的應用所接受。

當證書策略擴展項被標記為“關鍵”時，除了與上述相同的目的，還有一項附加功能：即指明對該證書的使用被限定在所標識的策略之內，也就是說證書認證機構聲明該證書必須僅僅用于所列CP的范圍內。此擴展域意在保護證書認證機構，以免依賴方在適用CP條款所規定的目的和方式之外使用證書，在造成損失時要求證書認證機構賠償。

5.2.2　策略映射擴展項

策略映射擴展項僅用于CA證書。此項允許證書認證機構指明自己域內的某些策略能夠被看作與主體CA域中某些其他的策略等同。

例如，假設為了促進互操作之目的，ACE公司與ABC公司建立了一個協定，將彼此證書認證機構的公鑰進行了交叉認證，以保護它們之間的業務往來。此外，假設兩個公司都已經事先存在金融交易保護策略，分別稱為ace-e-commerce 和 abc-e-commerce。可以預見，簡單地在兩個域間產生交叉證書不能提供必要的互操作性，因為兩家公司的應用程序被設置了各自的證書策略，雇員證書中也包含各自的證書策略。一個可能的解決方案是重新設置所有的金融應用程序承認任何一個策略，并重新簽發所有的證書，使之在證書策略擴展項中帶有兩個策略。另一個解決方案是使用策略映射擴展項，這也許易于管理。如果這個域被包含在由ACE公司CA簽發給ABC公司的CA的交叉證書中，則提供一項聲明：ABC公司的金融交易保護策略（abc-e-commerce）可看作等同于ACE公司的金融交易保護策略（ace-e-commerce）。通過包含在頒發給ABC公司的交叉證書中的此項聲明，ACE域內的依賴方應用（需要ace-e-commerce的對象標識符），也能夠接受、處理和依賴于ABC域內所頒發的證書（包含abc-e-commerce的對象標識符）。

5.2.3　策略限制擴展項

策略限制擴展項支持兩個可選的功能。第一個是證書認證機構有能力要求在證書認證路徑的所有后續證書中都需要包含顯式CP指示。依賴方可以將證書認證路徑的起始部分證書當作受信任域的一部分，也就是說，對于所有目的，證書認證機構被信任，因此在認證策略擴展項中不需要任何特定的證書策略。此類證書不需要CP的顯式指示。但是，當在信任域中的證書認證機構，對信任域外進行認證時，就可以激活此要求，要求在證書認證路徑的后續證書中必需出現特定CP的對象標識符。

策略限制擴展項的另一個可選功能是證書認證機構禁止證書認證路徑中后續證書認證機構進行策略映射的能力。當對域外進行認證時，禁止策略映射功能的設置將有助于控制信任傳遞所造成的風險，例如，域A信任域B，域B信任域C，但是域A不希望被強迫信任域C。

5.2.4　禁止任意策略擴展項

禁止任意策略擴展項指出了一項限制：自指定CA起，在所有后續證書中，任意策略（any-policy）不能視為其他證書策略的顯式匹配。該擴展項只能用于CA證書，其主要目的在于控制風險，避免因在證書中包含任意策略而使得風險失控。

5.2.5　策略限定符

證書策略擴展項中，對每個CP標識符，都可有一個限定符域，用于表達依賴于此策略的額外信息。GB/T16264.8標準中既沒有規定使用此域的目的，也沒有指定這個域的語法。策略限定符類型可以被任何組織注冊。

在RFC3280中定義了如下策略限定符類型：

a) CPS指針限定符，包含一個指向由CA發布的CPS、CPS摘要、RPA或PDS的指針，這個指針為統一資源標識符（URI）格式。

b) 用戶須知限定符，包含一個文本串，該串要在使用證書前顯示給訂戶和依賴方。此文本串可以是一個IA5串或者是BMP串——GB13000.1八位元編碼字符集的子集。CA可以借助于一個過程，要求依賴者知道已公開或接受的適用術語和條件。

策略限定符能夠被用來支持通用或者參數化CP的定義。除了基本CP所提供的，以每張證書為基礎，策略限定符類型能夠被定義用來表達附加的特殊策略細節，以補充通用定義。