Trong ví dụ trên, đường dẫn chứng nhận của các thực thể cuối được mô tả như sau:
[CA−1 DBPhương]
[CA−1HTPTrang]
[CA−2TMTriet]
[CA−3LVMinh]
4.2.2.3 Nhận xét
Ngược lại với kiến trúc CA đơn trong đó CA mới khơng thể được thêm vào PKI, trong kiến trúc này ta có thể thêm CA mới bằng cách thay đổi trong danh sách tín nhiệm. Mặc dù kiến trúc này có một ưu điểm dễ thấy trong việc đơn giản trong thiết kế nhưng đơi khi nó có thể trở nên hồn toàn phức tạp. Với sự tăng thêm của số lượng CA được tin cậy bởi một thực thể, số lượng thực thể trong danh sách tín nhiệm của tăng lên. Ngồi ra, thơng tin quan trọng về các CA được tin cậy cũng được duy trì bởi mọi thực thể. Sự cập nhật thơng tin này có thể cho thấy một nhiệm vụ vất vả cho các thực thể khi số lượng CA tăng lên.
Mơ hình này được thực thi trong các trình duyệt web Netscape và Microsoft, cho phép người sử dụng linh động trong việc thêm vào hay gỡ bỏ CA từ danh sách tín
nhiệm của mình. Tuy nhiên, một tổ chức hiểm độc có khả năng thêm một chứng nhận CA khơng có thật hay giả mạo vào danh sách và từ đó các chứng nhận người dùng khơng có thật được xác nhận bởi trình duyệt.
4.2.3 Kiến trúc phân cấp
4.2.3.1 Khái niệm
Khi số lượng thực thể cuối trong tổ chức tăng lên, việc quản lý các chứng nhận và sự xác thực bắt đầu phức tạp và đòi hỏi nhiều thời gian cho một CA đơn. Đây thực sự trở thành gánh nặng và vì thế nhu cầu chia sẻ công việc cho các CA khác trở nên cần thiết. Kiến trúc PKI phân cấp là kiến trúc PKI phổ biến nhất thường được triển khai trong những tổ chức có quy mơ lớn. Trong kiến trúc này, các dịch vụ PKI được cung cấp bởi nhiều CA. Không giống như kiến trúc danh sách tín nhiệm, mọi CA trong kiến trúc PKI phân cấp chia sẻ mối quan hệ tín nhiệm giữa chúng. Các CA trong kiến trúc này được kết nối thông qua mối quan hệ phụ thuộc cấp trên.