Bằng cách sử dụng ký hiệu [Tên CA Tên thực thể cuối] cho biết CA đó phát
hành chứng nhận cho thực thể cuối, đường dẫn chứng nhận của các thực thể cuối được mô tả như sau:
[CA−1 DBPhuong]
[CA−1HTPTrang]
[CA−1TMTriet]
Dễ thấy chứng nhận được phát hành bởi CA−1 cho thực thể cuối là đường dẫn chứng nhận hồn chỉnh và chỉ gồm có một chứng nhận.
4.2.1.3 Nhận xét
Triển khai một kiến trúc CA đơn hồn tồn đơn giản bởi vì chỉ cần phải thiết lập duy nhất một CA. Tuy nhiên, ưu điểm đó cũng chính là khuyết điểm của kiến trúc. Do chỉ có một CA duy nhất nắm giữ các thông tin quan trọng của mọi thực thể cuối, nếu khóa bí mật của CA bị tổn thương thì mọi chứng nhận được phát hành bởi CA này sẽ trở nên vô hiệu, và kết quả là hệ thống PKI sụp đổ hồn tồn. Vì vậy, trong trường hợp khóa cơng khai của CA bị tổn thương, CA nên lập tức thơng báo tình trạng này đến mọi thực thể. Hơn nữa, nếu khóa bí mật của CA bị tổn thương, CA cần phải được tái thiết lập. Để tái thiết lập một CA, mọi chứng nhận được phát hành bởi CA phải được thu hồi và phải được phát hành lại đồng thời thơng tin về CA mới sau đó phải
được chuyển đến mọi thực thể cuối. Vì tính chất quan trọng đó, CA phải có các thủ tục cho việc bảo vệ khóa bí mật của nó và cũng nên có một cơ chế an tồn cho việc xác nhận trực tuyến của các chứng nhận được phát hành bởi các thực thể khác nhau. Kiến trúc CA không thể mở rộng quy mơ do nó khơng cho phép bất kỳ CA mới nào thêm vào PKI. Vì vậy, nó chỉ phù hợp cho một tổ chức nhỏ với số lượng người giới hạn và khi kích thước của tổ chức tăng lên làm cho kiến trúc này trở nên bị quá tải.
4.2.2 Kiến trúc danh sách tín nhiệm
4.2.2.1 Khái niệm
Kiến trúc CA đơn chỉ thích hợp cho tổ chức có số lượng người hạn chế. Trong trường hợp số lượng người trong tổ chức tăng lên, nhu cầu sử dụng thêm các CA khác là cần thiết. Vấn đề đặt ra là làm sao những thực thể cuối có chứng nhận được phát hành bởi các CA khác nhau nhưng có thể giao tiếp với nhau.
Một cải tiến của kiến trúc CA đơn là kiến trúc danh sách tín nhiệm cơ bản trong đó các dịch vụ PKI được cung cấp bởi nhiều CA. Trong kiến trúc này, các thực thể cuối phải duy trì một danh sách các CA mà họ tin cậy và chỉ sử dụng các chứng nhận và CRL được phát hành bởi các CA trong danh sách các CA được tín nhiệm của nó.
Hình 4.5. Kiến trúc danh sách tín nhiệm
4.2.2.2 Đường dẫn chứng nhận
Tuy có nhiều CA trong kiến trúc nhưng những CA này không thiết lập một mối quan hệ tín nhiệm giữa chúng. Do đó, đường dẫn chứng nhận trong kiến trúc danh sách tín nhiệm cũng chỉ chứa duy nhất một chứng nhận đơn.