5.4 證書策略與認證業務聲明之間的關系

CP和CPS所說明的是依賴方感興趣的相同主題集合，如在何種程度上、為何種目的信任公鑰證書。他們的主要不同在于其條款的針對對象不同。CP列出了針對這些不同的主題PKI所采納的要求和標準。換句話來講，CP的目的在于闡明各參與方必須要達到的要求。與之相應，CPS則說明CA和其他參與者在給定的范圍內所采取的過程和控制手段，如何滿足CP中所提的要求。也就是說，CPS的目的在于公開各參與方如何實現各自的功能和控制。

CP和CPS的另一點不同在于兩類文檔所覆蓋的范圍。因為CP是關于要求的聲明，所以可作為互操作PKI必須要滿足的最小操作指南。這樣，一個CP通常適用于多個CA、多個組織或多個域。相反，CPS只適用于單個CA或單個組織，通常不作為互操作的工具。只擁有一個CPS的CA可以支持多個CP（應用于不同的目的或不同的依賴方團體）。同樣，具有不同CPS的多個CA，可以支持相同的CP。例如，政府可以定義在政府范圍內使用的CP，用以處理保密的人力資源信息。該CP將是一個針對政府PKI系統范圍內各參與方的共同要求的公開聲明，并指明適用的應用類別。每個想在此PKI內運營CA的部門或機構，都將被要求撰寫自己的CPS來支持此CP，通過解釋如何滿足該CP中所提的要求。同時，部門或機構的CPS可以支持其他的證書策略。

CP和CPS的第三點不同在于各自條款的詳細程度。雖然不同CPS的詳細程度可能不同，但CPS通常會比CP更詳細。CPS提供了滿足CP要求的過程和控制的詳細描述，而CP則更通用。

CP和CPS的主要不同可總結如下：

a) PKI利用CP來提出各參與方必須滿足的要求，單個CA或組織可用CPS來公開它是如何滿足CP的要求，或如何實現其業務和控制的。

b) 通過交叉認證、單向認證或其他手段，CP幫助實現互操作。因此，CP要覆蓋多個CA。相反，CPS是關于單個CA或組織的聲明，其目的不在于實現互操作。

c) CPS通常比CP更詳細，并且說明了CA如何滿足一個或多個CP中的要求，CA在這些CP下頒發證書。

除了在證書策略擴展項中標明適用CP的對象標識符，CA可以在其頒發的證書中包含關于其CPS的引用。實現此目的的標準方式是采用CP策略限定符，如在5.2.5條中所述。