Một phương pháp khác để nắm giữ khóa mà không nắm giữ nhiều công việc hỗ trợ quản lí là sử dụng CA (Certificate Authorities) như là một thực thể tin cậy để đưa ra và thu hồi chứng nhận số và cho việc cung cấp một ý nghĩa giúp kiểm tra về nhận thực những chứng thực. CA thường có 3 phần tác nhân như VeriSign hoặc Entrust, nhưng để tiết kiệm, bạn có thể thiết lập thiết lập CA cho riêng mình trên cơ sở sử dụng dịch vụ giấy chứng nhận Windows 2000.
Dưới đây trình bày quá trình làm việc của CA:
1) Một client muốn sử dụng chứng thực số tạo ra một cặp khóa, một khóa công cộng và một khóa riêng. Tiếp theo, chient chuẩn bị chứng nhận không đánh dấu (X.509) nó chứa, giữ nhiều thứ: ID nhận dạng client và khóa công cộng mà nó vừa tạo thành. Chứng nhận không đánh dấu này sau đó được gửi tới phía CA nhờ sử dụng một vài phương pháp an toàn.
2) Phía CA tính toán mã băm của chứng nhận không đánh dấu. Sau đó CA giữ mã băm và đóng gói nó sử dụng khóa công khai của CA. Hàm mật mã băm này là một chữ ký số, và CA tấn công vào nó để chứng nhận và quay lại đánh dấu chứng nhận client. Chứng nhận này được gọi là nhận dạng chứng nhận và được lưu trong thiết bị client cho đến khi nó kết thúc hoặc bị xóa. CA cũng gửi cho client chứng nhận số của nó, các mà trở thành chứng nhận gốc cho client.
3) Bây giờ client có một chứng nhận số đánh dấu mà nó có thể gửi tới bất kì bên thành viên nào. Nếu bên thành viên muốn nhận thực chứng nhận, nó giải mã chứng nhận nhờ sử dụng khóa công khai.
Chú ý quan trọng là với mỗi client thì CA chỉ gửi một chứng nhận của client đó. Nếu client muốn thiết lập IPSec IP-VPN với một client khác, nó trao đổi chứng nhận số với client kia nhờ sử dụng khóa công khai chia sẻ.
Khi một client muốn mật mã dữ liệu để gửi tới một bên, nó sử dụng khóa công khai của bên đó lấy từ chứng nhận số. Bên này sau đó giải mã gói tin với khóa công cộng.
Một chức năng khác của CA là sinh ra một loạt các chứng nhận theo chu kì mà nó đã hết hiệu lực hoặc đã mất giá trị. CA tạo ra danh sách chứng nhận bị hũy bỏ (Certificate Revocation Lists: CRL) của những khách hàng của nó. Khi một client nhận một chứng nhận số, nó kiểm tra CRL để tìm nếu như chứng nhận vẫn còn giá trị.