Trong kiến trúc này, các CA đều nằm dưới một CA gốc. CA gốc cấp các thẻ xác nhận cho những CA thứ cấp hay các EE. Đến lượt các CA này lại cấp các thẻ xác nhận cho những CA ở mức thấp hơn hoặc cho các EE.
Hình1.18: Kiến trúc PKI phân cấp
Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khoá công khai của CA gốc. Tất cả các thẻ xác nhận đều có thể được kiểm chứng bằng cách kiểm tra đường dẫn của thẻ xác nhận đó đến CA gốc. Ví dụ, khi A muốn kiểm chứng thẻ xác nhận của B, thẻ này do CA4 cấp, do vậy A kiểm tra thẻ xác nhận của CA4 ; thẻ xác nhận của CA4 lại do CA2 cung cấp nên A lại kiểm tra thẻ xác nhận của CA2 ; thẻ xác nhận của CA2 là do CA gốc cung cấp. Vì A biết khoá công khai của CA gốc nên nó có thể kiểm chứng trực tiếp.
Như vậy, trong kiến trúc của hệ thống PKI này, tất cả các đối tượng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khoá công khai của CA gốc phải được phân phát cho các đối tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình thành theo các cấp từ CA gốc đến các CA thứ cấp và đến các đối tượng sử dụng. Ta có một số đánh giá về kiến trúc hệ thống PKI phân cấp như sau:
1.5.1.1. Những ưu điểm của kiến trúc PKI phân cấp
Cấu trúc hệ thống quản lý của hầu hết các tổ chức đều có dạng phân cấp. Các mối quan hệ trong mô hình phân cấp cũng khá giống với các quan hệ trong các tổ chức. Vì vậy, ta có thể coi các nhánh của quá trình xác nhận đối tượng giống với các nhánh trong cấu trúc của tổ chức.
Kiến trúc phân cấp này cũng gần giống với hình thức phân cấp trong việc tổ chức thư mục. Do vậy, ta có thể dễ dàng làm quen hơn.
Cách thức tìm ra một nhánh xác nhận là theo một hướng nhất định, không có hiện tượng vòng lặp. Do vậy, quá trình xác nhận được thực hiện đơn giản và nhanh chóng.
Tất cả các đối tượng sử dụng đều có nhánh xác nhận hướng về CA gốc, do vậy, nêu một đối tượng sử dụng A cung cấp cho B thông tin về nhánh xác nhận của mình thì B cũng có thể thực hiện xác nhận theo hướng đó vì B cũng biết khoá công khai của CA gốc.
1.5.1.2. Những khuyết điểm của kiến trúc PKI phân cấp
Nếu ta áp dụng một mô hình phân cấp một cách cứng nhắc thì vẫn có một số nhược điểm như sau:
Trên một phạm vi lớn, không thể chỉ có một CA duy nhất để đảm nhận tất cả các quá trình xác nhận.
Các quan hệ kinh doanh, thương mại không phải lúc nào cũng có dạng phân cấp.
Khi khoá riêng của CA gốc bị tiết lộ thì toàn bộ hệ thống sẽ bị nguy hiểm. Nếu có khắc phục bằng cách thay cặp khoá mới thì thông tin về khoá công khai của CA gốc phải được truyền đến cho tất cả các đối tượng trong hệ thống. Điều này đòi hỏi thời gian và một lưu lượng truyền thông rất lớn. Trong các hệ thống ban đầu được triển khai, mô hình phân cấp đã được ưu tiên sử dụng. Tuy nhiên, phiên bản 3.0 của các thẻ xác nhận đã có những phần mở rộng hỗ trợ quá trình xác nhận không theo mô hình phân cấp. Do vậy, mô hình phân cấp ngày càng ít được sử dụng.