Cấu trúc cơ bản của một PKI bất kỳ bao gồm ít nhất hai khối chức năng. Khối thứ nhất chịu trách nhiệm tạo và thu hồi chứng chỉ. Khối thứ hai giải quyết vấn đề lƣu giữ chứng chỉ và làm cho nó sẵn sàng đối với ngƣời dùng. CA cung cấp tất cả những dịch vụ cho khối thứ nhất, CRS (Certificate Repository Server) cung cấp những dịch vụ cho khối thứ 2.
Do độ tin cậy của PKI dựa trên độ tin cậy vào chữ ký của CA trong chứng chỉ nên CA phải là một thành phần tin cậy cần phải đƣợc bảo vệ chặt chẽ. Tuy nhiên, những yêu cầu nhƣ vậy lại không đòi hỏi đối với CRS. CA phải đƣợc thiết kế trên cơ sở tính toán tin cậy và nên đƣợc duy trì bởi quản trị tin cậy. Hai giao diện tới CA nên đƣợc cung cấp cho ngƣời dùng là:
- Giao diện để tạo chứng chỉ.
- Giao diện để thu hồi chứng chỉ.
- Certificate Server Certificate Server PKI API Client PKI API Client Certificate Repository Certificate Repository
Hình 2.10 Các khối cơ bản của PKI Hình 2.10 Các khối cơ bản của PKI
72
CA không nên có bất kỳ giao diện nào khác tới ngƣời dùng. Một vấn đề khác nữa là nên cho phép sinh chứng chỉ trực tuyến. Thông thƣờng để đảm bảo an toàn, chứng chỉ thƣờng đƣợc sinh theo kiểu offline bởi CA. Tuy nhiên, một số ứng dụng kiểu trình duyệt không cần đến mức an toàn này, để thuận tiện cho ngƣời dùng thì ngƣời dùng có thể yêu cầu chứng chỉ và lấy chứng chỉ của họ một cách trực tiếp.
CA xuất các chứng chỉ và các CRL ra CRS. CRS nhận các chứng chỉ và các CRL từ CA và lƣu vào Cơ sở dữ liệu tƣơng ứng. CRS nên cung cấp một số giao diện khác cho ngƣời dùng trong vùng làm việc cục bộ và giao diện liên vùng. Ngƣời dùng liên hệ với CRS để yêu cầu chứng chỉ, CRL qua giao diện của CRS.