Thông thƣờng, một hệ thống PKI gồm 4 thành phần sau [18]: Certification Authorities (CA): Tổ chức chứng thực.
Trong hạ tầng khóa công khai PKI, chứng chỉ số có vai trò gắn kết giữa định danh của thực thể với khóa công khai. Một CA là một thực thể trong PKI có trách nhiệm cấp chứng chỉ số cho các thực thể khác trong hệ thống.
CA còn đƣợc gọi là bên thứ ba đƣợc tin tƣởng để cung cấp và xác thực định danh của các bên tham gia vào quá trình trao đổi thông tin. Thông thƣờng, CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ số cho các CA khác và cho các thực thể cuối trong hệ thống PKI. Nếu CA nằm ở đỉnh mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ở mức thấp hơn thì CA này gọi là CA gốc (root).
Registration Authorities (RA): Trung tâm đăng ký.
Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhƣng đôi khi lƣợng thực thể cuối trong PKI tăng lên và đƣợc phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm rất khó khăn. Chính vì vậy việc đăng ký cần có các thực thể độc lập thực hiện chức năng này, để giảm tải công việc cho CA, đó chính là RA. Chức năng thực hiện của một RA sẽ khác nhau tùy theo từng hạ tầng PKI khác nhau nhƣng chủ yếu bao gồm một số chức năng sau:
Xác thực cá nhân chủ thể đăng ký chứng chỉ.
Kiểm tra tính hợp lệ của thông tin cho chủ thể cung cấp.
Xác định quyền của chủ thể đối với những thuộc tính chứng chỉ đƣợc yêu cầu.
Kiểm tra quyền sở hữu của chủ thể đối với khóa riêng đang đƣợc đăng ký. Tạo cặp khóa công khai/khóa bí mật.
Lƣu trữ khóa riêng.
Khởi tạo quá trình khôi phục khóa.
Chức năng của RA chỉ đƣa ra những khai báo tin cậy ban đầu về chủ thể. Chỉ có CA mới có thể cấp chứng chỉ hay đƣa ra thông tin trạng thái thu hồi chứng chỉ nhƣ CRL.
Clients: Thực thể cuối.
Thực thể cuối trong PKI có thể là con ngƣời, thiết bị, thậm chí là một chƣơng trình phần mềm nào đó, nhƣng thƣờng là ngƣời sử dụng hệ thống.
Repository: Hệ thống lƣu trữ.
Chứng chỉ khóa công khai và thông tin thu hồi chứng chỉ cần phải đƣợc phân phối sao cho những ngƣời cần đến chứng chỉ đều có thể truy cập và lấy đƣợc dễ dàng. Có 2 phƣơng pháp phân phối chứng chỉ và thông tin thu hồi chứng chỉ nhƣ sau:
Phân phối cá nhân:
Đây là cách phân phối cơ bản nhất, mỗi cá nhân sẽ trực tiếp đƣa chứng chỉ của họ cho ngƣời dùng khác. Việc này có thể thực hiện theo một số cơ chế khác nhau nhƣ chuyển giao bằng tay chứng chỉ đƣợc lƣu trong đĩa mềm hoặc trong một số môi trƣờng lƣu trữ khác. Với những ngƣời dùng ở xa thì có thể trao đổi chứng chỉ cho nhau bằng cách đính kèm vào email để gửi cho ngƣời khác.
Cách này có thể thực hiện tốt trong một nhóm ít ngƣời dùng nhƣng khi số lƣợng ngƣời dùng tăng lên thì có thể xảy ra vấn đề về quản lý.
Phân phối công khai:
Một phƣơng pháp khác để phân phối chứng chỉ và thông tin thu hồi chứng chỉ là công bố các thông tin đó một cách rộng rãi, các chứng chỉ đƣợc sử dụng một cách công khai và đƣợc đặt ở một số hệ thống lƣu trữ cơ sở dữ liệu để có thể truy cập dễ dàng. Một số hệ thống lƣu trữ phổ biến là:
o X.500 Directory System Agents (DSAs).
o Lightweight Directory Access Protocol (LDAP) Server.
o Online Certificate Status Protocol (OCSP) Responders.
o Domain Name System (DNS) và Web Servers.