Mô hình kiến trúc xí nghiệp được thiết kế với mục đích sử dụng nhiều CA phân tán. Quan hệ giữa các CA có thể theo mô hình phân cấp hoặc mô hình ngang hàng (mô hình lưới).[4]
a.Mô hình PKI phân cấp
Mô hình PKI phân cấp tổ chức các CA theo mối quan hệ thứ bậc, có dạng như một đồ thị cây. Trên cao nhất của mô hình là CA gốc, kế tiếp bên dưới là các CA thứ cấp… Mỗi CA con được CA cha tạo chứng thư số đảm bảo sự tin cậy của mình. CA gốc thường chỉ tạo chứng thư số cho các CA con, nhưng các CA cấp thấp hơn lại có thể tạo chứng thư số cho cả người dùng và CA cấp thấp hơn nữa.
Khi thêm một CA mới vào kiến trúc PKI hiện tại, chỉ việc đặt quan hệ CA mới trở thành con của một CA trong hệ thống và để CA cha tạo chứng thư số cho CA con. Đường dẫn chứng nhận (Certificate path) trong mô hình PKI phân cấp khởi đầu ở root CA và kết thúc ở thực thể cuối. Ví dụ trong mô hình vẽ ở trên thì đường dẫn chứng nhận của thực thể cuối là UserX có thể được miêu tả như sau:
[Root CA CA -1]:[CA-1 CA-3]:[CA-3 UserX] Các đặc tính nổi bật của kiến trúc PKI phân cấp:
• Tính khả mở: Kiến trúc này đáp ứng việc nâng cấp, mở rộng hệ thống.
• Dễ dàng triển khai: kiến trúc phân cấp triển khai dễ dàng, đường dẫn chứng nhận từ CA gốc cho tới thực thể hoàn toàn xác định một cách nhanh chóng và đơn giản.
• Đường dẫn chứng nhận ngắn: Do tổ chức theo mô hình cây, độ dài đường dẫn chứng nhận tối đa trong hệ thống PKI phân cấp bằng độ cao của cây. Điểm yếu duy nhất trong mô hình này là sự an toàn bảo mật của CA gốc. Trường hợp CA gốc bị tấn công và thâm nhập, toàn bộ hệ thống PKI sẽ bị đổ vỡ. Nếu chỉ một CA con nào đó bị thâm nhập, CA cha sẽ tiến hành hủy bỏ chứng thư số của nó và xây dựng lại nhánh PKI con bắt đầu từ CA bị hủy chứng thư số.
Hình 2-10: Mô hình PKI phân cấp
b.Mô hình PKI ngang hàng
Trong mô hình lưới, các CA có mối quan hệ đồng cấp. Mọi CA trong lưới PKI đều có chức năng làm điểm tin cậy (trust point), không có CA nào có vai trò quan trọng hơn. Tổ chức của mô hình PKI lưới tương tự như đồ thị vô hướng. Do các CA thực hiện chứng nhận lẫn nhau, chúng tạo nên các mối quan hệ tin cậy tương hỗ.[4]
Do không có CA nào là điểm tin cậy trung tâm, một CA bị thâm nhập chỉ gây sự cố tới các thực thể mà nó phát hành chứng thư số, không ảnh hưởng tới toàn hệ thống PKI.
Bổ sung thêm CA mới vào hệ tiến hành đơn giản. CA mới chỉ cần được một CA đã có trong hệ thống phát hành chứng thư số đối với nó.
Hình 2-11: Mô hình PKI lưới
Việc xây dựng đường dẫn chứng nhận trong mô hình lưới phức tạp hơn trong mô hình phân cấp. Không như ở mô hình phân cấp, thực hiện xây dựng đường dẫn chứng nhận ở mô hình lưới có thể là không hữu hạn. Ví dụ với mô hình lưới như trên, đối với Bob, Alice có thể xây dựng đường dẫn chứng nhận là [CA−1 Bob]. Nhưng đối với James, Alice có thể xây dựng ít nhất hai đường dẫn chứng nhận như sau:
[CA - 1 CA - 2] : [CA – 2 CA - 4] : [CA – 4 James] Hoặc :
[CA – 1 CA - 3] : [CA – 3 CA - 2] : [CA – 2 CA - 4] : [CA – 4 James]