Khi một ngƣời (ngƣời gửi) thông báo muốn sử dụng kỹ thuật khóa công khai để mã hóa một thông báo và gửi cho ngƣời nhận, ngƣời gửi cần một bản sao khóa công khai của ngƣời nhận. Khi một thành viên bất kỳ muốn kiểm tra chữ ký số - chữ ký số này đƣợc thành viên khác sinh ra, thành viên kiểm tra cần một bản sao khóa công khai của thành viên ký. Chúng ta gọi cả hai thành viên mã hóa thông báo và thành viên kiểm tra chữ ký số - là những ngƣời sử dụng khóa công khai.
Khi một giá trị khóa công khai đƣợc gửi đến cho một ngƣời sử dụng khóa công khai thì không cần thiết phải giữ bí mật giá trị khóa công khai này. Tuy nhiên, ngƣời sử dụng khóa công khai phải đảm bảo rằng khóa công khai đƣợc sử dụng đúng là dành cho thành viên khác (có thể là ngƣời nhận thông báo có chủ định hoặc bộ sinh chữ ký số đƣợc yêu cầu). Nếu một kẻ truy nhập có thể dùng một khóa công khai khác thay thế cho khóa công khai hợp lệ, các nội dung của thông báo đã mã hóa có thể bị lộ, những thành viên không chủ định khác sẽ biết đƣợc và các chữ ký số có thể bị làm giả. Nói cách khác, cách bảo vệ (đƣợc tạo ra từ các kỹ thuật này) bị ảnh hƣởng hoàn toàn nếu một kẻ truy nhập có thể thay thế các khóa công khai không xác thực.
Đối với các nhóm thành viên nhỏ, yêu cầu này có thể đƣợc thỏa mãn một cách dễ dàng. Ví dụ trong trƣờng hợp có hai ngƣời quen biết nhau, khi ngƣời này muốn truyền thông tin an toàn với ngƣời kia, họ có thể có đƣợc bản sao khóa công khai của nhau bằng cách trao đổi các đĩa có chứa các giá trị khóa công khai của từng ngƣời, vì vậy đảm bảo rằng các giá trị khóa công khai đƣợc lƣu giữ an toàn trên mỗi hệ thống cục bộ của từng ngƣời. Đây chính là hình thức phân phối khóa công khai thủ công. Tuy nhiên, hình thức phân phối khóa công khai thủ công này bị coi là không thực tế hoặc không thỏa đáng trong phần lớn các lĩnh vực ứng dụng khóa công khai, đặc biệt khi số lƣợng ngƣời sử dụng trở nên quá lớn và/hoặc ở phân tán. Các chứng chỉ khóa công khai giúp cho việc phân phối khóa công khai trở nên có hệ thống.
Một hệ thống chứng chỉ khóa công khai làm việc nhƣ sau: Một CA phát hành các chứng chỉ cho những ngƣời nắm giữ cặp khóa công khai và khóa riêng. Một chứng chỉ gồm một giá trị khóa công khai và thông tin dùng để nhận dạng duy nhất chủ thể (subject) của chứng chỉ. Chủ thể của chứng chỉ có thể là một ngƣời, thiết bị, hoặc một thực thể khác có nắm giữ khóa riêng tƣơng ứng (xem hình dƣới).
Khi một chủ thể của chứng chỉ là một ngƣời hoặc một thực thể hợp pháp nào đó, chủ thể thƣờng đƣợc nhắc đến nhƣ là một thực thể (subscriber) của CA.
Các chứng chỉ đƣợc CA ký, bằng cách sử dụng khóa riêng của CA.
Hình 1.8: Chứng chỉ khóa công khai dựa trên CA
Một khi các chứng chỉ này đƣợc thiết lập, nhiệm vụ của ngƣời sử dụng khóa công khai rất đơn giản. Giả thiết rằng, một ngƣời sử dụng khóa công khai đã có khóa công khai của CA một cách bí mật (ví dụ: thông qua phân phối khóa công khai thủ công) và ngƣời sử dụng khóa công khai tin cậy CA phát hành các chứng chỉ hợp lệ. Nếu ngƣời sử dụng khóa công khai cần khóa công khai của một trong các thuê bao của CA này, ngƣời sử dụng khóa công khai có thể thu đƣợc khóa công khai của một thuê bao bằng cách lấy một bản sao chứng chỉ của thuê bao, lấy ra giá trị khóa công khai, kiểm tra chữ ký của CA có trên chứng chỉ hay không bằng cách sử dụng khóa công khai của CA. Một ngƣời sử dụng khóa công khai sử dụng các chứng chỉ nhƣ cách trên đƣợc coi là một thành viên tin cậy. Kiểu hệ thống này tƣơng đối đơn giản và kinh tế khi thiết lập trên diện rộng và theo hình thức tự động bởi vì một trong các đặc tính quan trọng của chứng chỉ là:“Các chứng chỉ có thể được phát hành mà không cần phải bảo vệ thông qua các dịch vụ an toàn truyền thông để đảm bảo sự tin cẩn xác thực và tính toàn vẹn”.
Chúng ta không cần giữ bí mật giá trị khóa công khai, nhƣ vậy các chứng chỉ không phải là bí mật. Hơn nữa, ở đây không đòi hỏi các yêu cầu về tính xác thực và toàn vẹn do các chứng chỉ tự bảo vệ (chữ ký số của CA có trong chứng chỉ cung cấp bảo vệ xác thực và toàn vẹn). Một kẻ truy nhập trái phép định làm giả một chứng chỉ khi chứng chỉ này đang đƣợc phát hành cho những ngƣời sử dụng khóa công khai, những ngƣời sử dụng này sẽ phát hiện ra việc làm giả này bởi vì chữ ký số của CA đƣợc kiểm tra chính xác. Chính vì thế các chứng chỉ khóa công khai đƣợc phát hành theo các cách không an toàn ví dụ nhƣ: thông qua các máy chủ, các hệ thống thƣ mục và/hoặc các giao thức truyền thông không an toàn.
Lợi ích cơ bản của một hệ thống cấp chứng chỉ là: một ngƣời sử dụng khóa công khai có thể có đƣợc một số lƣợng lớn các khóa công khai của các thành viên khác một cách đáng tin cậy, xuất phát từ thông tin về khóa công khai của một thành viên, đó chính là khóa công khai của CA. Lƣu ý rằng một chứng chỉ chỉ hữu ích khi ngƣời sử dụng khoá công khai tin cậy CA phát hành các chứng chỉ hợp lệ.