Su otra pregunta parece sugerir que una CA escribe el PC, pero este no es el caso.
Un CP es escrito por la autoridad responsable de la PKI en su totalidad, generalmente llamada Autoridad de Gestión de la PKI (PMA). Es el PMA que posee las relaciones de confianza entre las entidades dentro de la PKI y es el PMA que, por lo tanto, hace todo lo posible para garantizar que la confianza no se pierda. Como parte de esto, establece reglas (políticas) que cualquier Autoridad de Certificación debe seguir para formar parte de la PKI.
Una vez que la PMA ha escrito el CP, cualquier Autoridad de Certificación que desee emitir certificados en nombre de esa PMA debe diseñar la CA de acuerdo con el CP. Una vez hecho esto, debe escribir una Declaración de Práctica de Certificación que demuestre cómo está siguiendo el PC. Tenga en cuenta que un CP bien escrito tendrá políticas de auditoría que permiten verificar las CA, entre otras cosas, el cumplimiento del CP.
Un CPS sin un CP no tiene sentido. Sin un CP, el contenido del CPS podría ser absolutamente cualquier cosa y no estaría rompiendo ninguna política.
Por ejemplo, la sección 6.2 cubre la protección de las claves privadas. Sin un CP, su CPS podría decir algo al efecto de:
la clave privada de la CA raíz se guarda en una memoria USB almacenada en el armario fijo
La declaración es irresponsable; pero no infringe ninguna ley o política.
Sin embargo, si su administración considera que lo anterior es inaceptable y que la clave privada debe almacenarse en un Módulo de seguridad de hardware de nivel 3 FIPS-140-2, debe incluirse en la sección 6.2 de su CP. Una vez que está allí, la declaración del CPS anterior rompe la política y no es aceptable. Intentar enviar un CPS con la declaración anterior resultaría en un rechazo por parte de la PMA y, en consecuencia, la CA no podría unirse a la PKI.
Puede ser tentador escribir solo un CPS y enviarlo para que lo revisen los colegas o la administración.
Si su CPS se devuelve sin ningún comentario y se acepta, debe preguntarse si los revisores conocen su tema o si usted diseñó en exceso la CA que está perdiendo tiempo y dinero.
Si su CPS se devuelve con comentarios (¿tal vez sugiera cómo se debe almacenar la clave privada entre otras cosas?), estos comentarios son el comienzo de un CP. Sin embargo, en lugar de muchas iteraciones de este proceso de revisión y quizás discusiones / argumentos / disparos acalorados, sería mucho más simple si una autoridad principal (¿el PMA?) Anote las reglas de funcionamiento de la PKI que deben seguir todas las CA. A la larga, un CP hará que el proceso de escribir un CPS sea mucho más sencillo. Después de todo, todos los temas deben discutirse en algún momento, así que hágalo antes de diseñar su CA.
Finalmente, recuerde que solo hay un CP que cubre todas las autoridades (CA, RA, VA) en la PKI. Cada CA (y posiblemente RA y VA si son entidades separadas de la CA) escribe un CPS para indicar cómo siguen las políticas.
Como mínimo, Acme Inc tendrá un solo Acme CP (escrito por el PMA), seguido del Acme Root CA CPS (escrito por los operadores del Root CA) y el Acme Issuing CA CPS (escrito por el Emisor Operadores de CA).