CA là thành phần trung tâm quan trọng nhất của hệ PKI. Nó đóng vai trò là bên thứ 3 được các bên tham gia giao dịch tin tưởng. Các bên sẽ chỉ truyền tin tin cậy với nhau nếu bên kia được chứng thực bởi CA. Để chứng thực cho một thực thể, CA sử dụng chứng thư. Chứng thư chứa các thông tin như tên của thực thể, khóa công khai của thực thể và chứng thư được CA kí và phát hành cho các bên. CA sẽ quản lí chứng thư không chỉ trong lúc nó được tạo ra mà cả trong quá trình nó được sử dụng.
Các chức năng chính của CA bao gồm:[5]
- Tạo cặp khóa riêng – khóa công khai. Đây là tùy chọn khi xây dựng hệ thống: cặp khóa có thể do CA tạo ra hoặc do người dùng tự tạo.
- Tiếp nhận yêu cầu cấp chứng thư: CA cần kiểm tra danh tính và các thông tin khác của người đăng kí và cặp khóa của họ (nếu khóa là do người dùng tạo ra). - Phát hành chứng thư: đối với các yêu cầu hợp lệ do người dùng đăng kí trực tiếp hoặc yêu cầu do RA chuyển lên, CA tiến hành cấp phát chứng thư.
- Phân phối chứng thư: cung cấp các dịch vụ cho phép truy vấn thông tin về chứng thư để sử dụng trong quá trình xác thực.
- Thu hồi chứng thư: trong các trường hợp như chứng thư được yêu cầu hủy, hoặc chứng thư bị xâm phạm hoặc chứng thư hết thời hạn sử dụng, CA có nhiệm vụ hủy chứng thư đó và thông báo cho tòan bộ hệ thống bằng CRL (Certificate Revocation List – Danh sách chứng thư bị hủy).
- Treo chứng thư: CA có thể tạm thời ngừng cho sử dụng một chứng thư nếu như nghi ngờ nó bị xâm phạm.
- Gia hạn chứng thư: khi một chứng thư sắp hết hạn sử dụng, người dùng có thể xin CA gia hạn cho chứng thư của họ.