Chứngnhận số đảm bảo rằng một khoá công cộng là sở hữu của thực thể
mà nó thể hiện. Để thực hiện được điều này, thì chính chứng nhận này cũng phải được kiểm tra để đảm bảo rằng nó đại diện cho đối tượng cần mong muốn (đối tượng này có thể là một cá nhân hoặc một tổ chức). Điều này được thực hiện bằng cách sử dụng một tổ chức thứ ba đáng tin cậy được gọi là thẩm quyền chứng nhận (CA - Certificate Authority) gồm có VeriSign,
Entrust, và Certicom. Các thẩm quyền này được phép cung cấp các dịch vụ
này cho các thực thể được nhận dạng hợp lệ khi chúng yêu cầu. Để thực hiện chức năng của mình, một CA (Certificate Authority) phải được tin tưởng bởi
các thực thể (các thành viên cuả PKI) dựa trên các dịch vụ của nó. Người dùng có thể mua chứng nhận số từ CA và sử dụng chứng nhận này để nhận
thực và để lưu hành khoá riêng của họ. Một chứng nhận số điển hình chứa
những thông tin sau:
• Tên của người đang nắm giữ chứng nhận số, cũng như thông tin khác
mà có thể nhận dạng duy nhất người này, thông tin phụ thêm có thể là URL của một Web Server đang sử dụng chứng nhận hay một địa chỉ email.
•Khoá công cộng của người đang nắm giữ chứng nhận số.
•Tên của CA lưu hành chứng nhận này.
•Thời hạn sử dụng của chứng nhận (thường là ngày bắt đầu và ngày hết hạn).
• Một chữ ký số của CA để có thể nhận ra chứng nhận số đề phòng
trường hợp phiên truyền dẫn bị phá rối.
Tất cả các chứng nhận được ký bằng một khóa riêng của CA. Người sử dụng chứng nhận có thể xem kiểm tra thông tin của chứng nhận có hợp lệ không bằng cách giải mật mã chữ ký bằng một khoá kiểm tra công cộng nhận được từ chứng nhận phát đi từ thẩm quyền mức phân cấp cao hơn và kiểm tra xem nó có phù hợp với MD (Message Digest: tóm tắt bản tin) của nội dung nhận được trong chứng nhận hay không. Chữ ký thường là một MD được mật mã hóa.