Mụ hỡnh này tương ứng với cấu trỳc phõn cấp với CA gốc và cỏc CA cấp dưới. CA gốc xỏc nhận cỏc CA cấp dưới, cỏc CA này lại xỏc nhận cỏc CA cấp thấp hơn. Cỏc CA cấp dưới khụng cần xỏc nhận cỏc CA cấp trờn. Hỡnh 2.9: Mụ hỡnh phõn cấp CA EE EE CA EE EE EE EE EE EE EE EE EE
EE: End Entity
CA
CA CA
CA CA
Root CA
Mụ hỡnh phõn cấp được minh hoạ như Hỡnh 2.9 ở trờn.
Trong mụ hỡnh này, mỗi thực thể sẽ giữ bản sao khoỏ cụng khai của root CA và kiểm tra đường dẫn của chứng chỉ bắt đầu từ chữ ký của CA gốc. Đõy là mụ hỡnh PKI tin cậy sớm nhất và được sử dụng trong PEM.
* Ưu điểm của mụ hỡnh:
- Mụ hỡnh này cú thể dựng được trực tiếp cho những doanh nghiệp phõn cấp và độc lập, cũng như những tổ chức chớnh phủ và quõn đội.
- Cho phộp thực thi chớnh sỏch và chuẩn thụng qua hạ tầng cơ sở. - Dễ vận hành giữa cỏc tổ chức khỏc nhau.
* Nhược điểm:
- Cú thể khụng thớch hợp đối với mụi trường mà mỗi miền khỏc nhau cần cú chớnh sỏch và giải phỏp PKI khỏc nhau.
- Cỏc tổ chức cú thể khụng tự nguyện tin vào cỏc tổ chức khỏc.
- Cú thể khụng thớch hợp cho những mối quan hệ ngang hàng giữa chớnh phủ và doanh nghiệp.
- Những tổ chức thiết lập CA trước cú thể khụng muốn trở thành một phần của mụ hỡnh.
- Cú thể gõy ra sự trội hơn của sản phẩm đối với vấn đề về khả năng tương tỏc. - Chỉ cú một CA gốc nờn cú thể gõy ra một số vấn đề như thiếu khả năng hoạt động. Thờm vào đú, trong trường hợp khoỏ bớ mật của CA bị xõm phạm, khoỏ cụng khai mới của CA gốc phải được phõn phối đến tất cả cỏc người sử dụng cuối trong hệ thống theo một số cơ chế khỏc nhau.
Mặc dự cú những nhược điểm, song mụ hỡnh này vẫn thớch hợp với yờu cầu của cỏc tổ chức chớnh phủ vỡ cấu trỳc phõn cấp tự nhiờn sẵn cú.