6.1 引言

6.0 說明

本章對5.6條所介紹的簡易框架的內容進行擴展，本章所列主題是詳細CP或CPS的候選主題。

盡管此處給出很多主題，但CP和CPS沒有必要對每一個主題包含一個具體的聲明。確切而言，對于特定的CP或CPS不需要或不能公開的項、子項或元素，可以聲明“無規定”。在這個意義上，主題列表可以被看成是CP或CPS撰寫者要考慮的主題一覽表。

CP和CPS中應包含每一個項和子項，盡管只是“無規定”。這種撰寫方式可避免無意的主題遺漏，在進行策略映射時，有助于比較不同的CP或者CPS。

在一個CP當中，可以留下某些項、子項和/或元素而不做聲明，規定所需的信息將在策略限定符中或策略限定符所指定的文檔中說明。這種CP可看作是參數化定義方式，條款集應該引用或者定義所需的策略限定符類型，并且應該指定任何可用的缺省值。

6.1　引言

6.1.0 本項說明

此項標識和介紹條款集，并指明該文檔（CP或CPS）的目標實體和應用的類別。

6.1.1　概述

該子項對當前撰寫文檔提供一個概要性介紹，對當前CP或CPS所適用的PKI提供一個大綱。例如，可以設定PKI中證書所提供的不同保證等級。根據特定PKI的復雜性和范圍，可以使用圖表的表達方式。

6.1.2　文檔名稱與標識

該子項提供關于文檔的任何適用名稱或標識符，包括ASN.1對象標識符。文檔的名稱可能是政府用于安全電子郵件的策略。

6.1.3　PKI參與者

該子項描述扮演PKI中參與者角色的不同實體的身份或類型，他們是：

—— 證書認證機構，也就是頒發證書的實體。就其所簽發的證書而言，一個CA是簽發CA；就簽發給其的CA證書而言，一個CA是主體CA。CA可以組織成層狀結構，一個組織的CA為其下屬組織運營的CA頒發證書，如分支、分公司或大組織下的部門。

—— 注冊機構，也就是為最終用戶證書申請者建立注冊過程的實體，對證書申請者進行標識和鑒別，發起或傳遞證書吊銷請求，代表CA批準更新證書或更新密鑰的申請。大組織的下屬組織能夠扮演RA的角色，服務于整個組織，但RA也可以獨立于CA之外。

—— 訂戶，即從CA接收證書的實體，包括自己擁有CA的組織的雇員、銀行或證券經紀的客戶、擁有電子商務網站的組織、參與B-to-B交換的組織、從CA（為公開用戶頒發證書）處接收證書的公眾成員。

—— 依賴方，依賴方的實例包括自己擁有CA的組織的雇員（他們接收到其他雇員發來的簽名電子郵件）、由電子商務網站購買商品和服務的人、參與B-to-B交換的組織（接收到其他組織發來的訂單）、與訂戶（接收了公共CA頒發的證書）發生業務往來的個人或組織。依賴方可以是、也可以不是一個給定PKI的訂戶。

—— 其他參與者，如證書制造機構、信息庫服務提供者、以及其他提供PKI相關服務的實體。

6.1.4　證書應用

該子項包括：

—— 所頒發證書適用的證書應用列表或類型，如電子郵件、零售交易、合同、旅游訂單；

—— 所頒發證書限制的證書應用列表或類型。

在CP或CPS描述不同保證等級的情況下，該子項能夠描述對不同保證等級適用或不適用的應用或應用類別。

6.1.5　策略管理

該子項包括負責起草、注冊、維護和更新當前CP或CPS的組織的名稱和郵件地址，還包括聯系人的姓名、電子郵件地址、電話號碼和傳真號碼。作為一種替代方案，可不指定真實人，在文檔中可以定義一個稱謂或角色、一個電子郵件別名或其他通用的聯系信息。在某些情況下，組織可以聲明其聯系人，單獨或與其他人一起，能夠回答關于文檔的問題。

進一步，當一個正式或非正式策略機構來負責決定是否允許某一CA在一個PKI內運營或與之互操作時，則可能會期望它來批準CA的CPS與策略機構的CP相適應。如果是這樣，該子項要包括作此決定的實體的名稱、電子郵件地址、電話號碼、傳真號碼、以及其他常用信息。在這種情況下，該子項還包括作此決定的過程。

6.1.6　定義和縮寫

該子項包括文檔中所使用術語的定義一覽表，還包括首字母縮略語及其含義一覽表。