Nur eine sichere Certification Authority kann als Wurzel für eine Public Key Infrastruktur dienen, welche für die Sicherung von Vertraulichkeit oder auch Authentizität/Integrität von Informationen genutzt wird. Die Grundlage von Public Key Infrastrukturen (PKI) ist Vertrauen. Daher muss eine Certification Authoritiy (CA), welche die PKI betreibt, zum einen vertrauenswürdig sein und zum anderen Vertrauen von Dritten erhalten. Um dieses Vertrauen herzustellen, müssen zwei Bedingungen erfüllt sein:

• Erstens muss es eine Basis für Vertrauenswürdigkeit geben, das heißt die CA muss auf einem angemessenen Sicherheitsniveau organisatorische und technische Maßnahmen implementieren und Regeln für alle PKI-Teilnehmer aufstellen.
• Zweitens müssen diese Sicherheitsmaßnahmen, transparent dokumentiert werden. Hierzu dient ein (bestandenes) Audit basierend auf klaren und dokumentierten Anforderungen.

Die BSI [TR-03145] hat zum Ziel, CAs bei beiden Schritten zu unterstützen. Es werden Anforderungen an die zu implementierenden Sicherheitsmaßnahmen gestellt, und die Technische Richtlinie dient als Grundlage für einen Audit- und Zertifizierungsprozess. Die Anforderungen der [TR-03145] beinhalten unter anderem ein Audit nach ISO/IEC 27001 in dessen Rahmen alle in der TR benannten Prozesse und Bereiche der CA berücksichtigt werden müssen. Das Audit wird durch einen zertifizierten Auditor "Secure CA Operation" durchgeführt und findet vor Ort bei der zu prüfenden CA statt.