Hola,

Creo que este tema es demasiado extenso para poder explicarlo brevemente y existen algunos detalles que han cambiado últimamente, antes los certificados en el browser pasaban por la validación del browser y este era al final el que tomaba algunas decisiones si se ejecutaba el código o no, al parecer ahora ya no es así.

Pero podrías leer algo de la documentación de SUN :

Según el Tutorial de Java, es completamente necesario el archivo de políticas 'policy file', crearlo y configurarlo en el cliente para poder ejecutar código. En Security Features in Java SE podrías leer "Quick Tour of Controlling Applets" y "Signing Code and Granting It Permissions" donde te explica la forma de implementarlo.

Ahora en la documentación de Java Platform, Standard Edition (Java SE) da información relacionada a : "The guide includes a chapter on security and the signed applet support in Java Plug-in, which allows users to grant (signed) applets all permissions based on their authenticated signers, without having to configure and deploy any policy or keystore configuration files." Donde te explica como ejecutar un applet sin necesidad de configurar ningún archivo de políticas o keystore. Y como puedes observar hay diferencias entre el plug-in anterior a la versión Java SE 6u10 The JavaTM Plug-in.

Ahora si sigues investigando vas a encontrar en Overview—Applet Security Basics que también hay diferencias entre Windows XP y Windows Vista y una variable del archivo de políticas, configurable por el administrador para modificar el tipo de permisos (usePolicy Permission).

Tendrías que leer Development and Deployment Of JavaTM Web Apps para averiguar como usar el Applet sin necesidad del policy file; pero ese es otro tema (Tal ves alguien más tenga mayor experiencia con los archivos JNLP).

De igual forma espero haber sido de alguna ayuda,
Saludos,