La tua altra domanda sembra suggerire che una CA scriva il CP, ma non è questo il caso.
Un CP è scritto dall'autorità responsabile per l'infrastruttura PKI nel suo complesso, solitamente chiamata PKI Management Authority (PMA). È il PMA che possiede le relazioni di fiducia tra le entità all'interno della PKI ed è il PMA che quindi fa tutto il possibile per garantire che la fiducia non venga persa. Come parte di ciò, stabilisce le regole (policy) che qualsiasi Autorità di certificazione deve seguire se deve far parte dell'infrastruttura PKI.
Una volta che il PMA ha scritto il CP, qualsiasi Autorità di certificazione che spera di emettere certificati per conto di tale PMA deve progettare la CA in linea con il CP. Una volta fatto, deve scrivere una Dichiarazione di certificazione che dimostri come sta seguendo il CP. Si noti che un CP ben scritto avrà criteri di controllo che consentono di verificare le CA, tra le altre cose, la conformità CP.
Un CPS senza un CP è inutile. Senza un CP, il contenuto del CPS potrebbe essere assolutamente nulla e non avrebbe infranto alcuna politica.
Ad esempio, la sezione 6.2 riguarda la protezione delle chiavi private. Senza un CP il tuo CPS potrebbe dire qualcosa all'effetto di:
the Root CA private key is held on a USB stick stored in the stationary cupboard
L'affermazione è irresponsabile; ma non infrange nessuna legge o politica.
Tuttavia, se la tua gestione ritiene inaccettabile quanto sopra e che la chiave privata debba essere archiviata in un modulo di sicurezza hardware di livello 3 FIPS-140-2, allora ciò che dovrebbe essere nella sezione 6.2 del tuo CP. Una volta lì, la precedente dichiarazione CPS infrange la politica e non è accettabile. Il tentativo di inviare un CPS con l'affermazione precedente comporterebbe il rifiuto da parte del PMA e di conseguenza l'AC non sarebbe autorizzata a partecipare al PKI.
Potrebbe essere allettante scrivere solo un CPS e inviarlo per la revisione da parte dei pari o della gestione.
Se il tuo CPS viene restituito senza commenti e accettato, devi chiederti se i revisori conoscono la loro materia, o se hai sovrainteso la tua CA, perdendo tempo e denaro.
Se il tuo CPS viene restituito con commenti (magari suggerendo come memorizzare la chiave privata tra le altre cose?) allora questi commenti sono l'inizio di un CP. Tuttavia, invece di molte iterazioni di questo processo di revisione e forse discussioni / argomenti / licenziamenti accesi, sarebbe molto più semplice se un'autorità senior (la PMA?) Annota le regole di esecuzione della PKI che tutte le CA devono seguire. A lungo termine, un CP renderà il processo di scrittura di un CPS molto più semplice - dopo tutto, tutti i temi devono essere discussi ad un certo punto, quindi fatelo prima di progettare il vostro CA.
Infine, ricorda che esiste un solo CP che copre tutte le autorità (CA, RA, VA) nell'infrastruttura PKI. Ogni CA (e possibilmente RA e VA se sono entità separate della CA) scrive un CPS per indicare in che modo stanno seguendo le politiche.
Come minimo, Acme Inc avrà un singolo CP Acme (scritto da PMA), seguito da CA CPS Acme Root (scritto dagli operatori della CA principale) e CA CPS che emette l'Acme (scritto dall'emittente Operatori CA).