Chứng thƣ số là thành phần đƣợc CA phát hành công khai và cấp cho đối tƣợng sử dụng cuối. Mỗi chứng thƣ số là duy nhất, chứng nhận tính xác thực khóa công khai của đối tƣợng sở hữu, đƣợc đảm bảo bằng chữ ký số của đơn vị phát hành chứng thƣ CA.
Cấu trúc của chứng thƣ số định nghĩa bởi chuẩn X.509 của liên minh viễn thông quốc tế ITU-T. Cấu trúc của chứng thƣ số X.509 đƣợc mô tả trong hình 3.8 , gồm các trƣờng sau:
Version : Định nghĩa phiên bản của chứng thƣ, phiên bản mới nhất hiện
nay là phiên bản 3.
Serial number : Mã số định danh duy nhất của chứng thƣ.
Signature algorithm Identifier : Định nghĩa thuật toán mã hóa và các tham số đƣợc CA sử dụng để xác nhận chứng thƣ, giúp đối tƣợng sử dụng cuối có thể kiểm tra tính hợp lệ của chứng thƣ. Các tham số này đƣợc lặp lại trong trƣờng Signature ở cuối chứng thƣ.
Issuer name : Tên xác định của CA theo chuẩn X.500
Period of validity : Bao gồm ngƣời bắt đầu hiệu lực và ngày hết hạn của
chứng thƣ.
Subject name : Tên chủ sở hữu chứng thƣ theo chuẩn X.500
Subject's public-key information : Thông tin về khóa công khai của chủ
Issuer unique identifier: Là trƣờng tùy chọn, chứa mã định danh duy nhất của tổ chức phát hành chứng thƣc đƣợc dùng để phân biệt trong trƣờng hợp các CA có tên (Issuer Name) trung nhau.
Subject unique identifier: Là trƣờng tuy chọn, chữa mã định danh duy nhất cho mỗi chủ sở hữu đƣợc phát hành bởi 1 CA. Trƣờng này đƣợc sử dụng để phân biệt các chủ sở hữu trong trƣờng hợp các chủ sở hữu có trùng tên (Subject Name)
Extensions: Là tập các trƣờng mở rộng, chứa các thông tin liên quan khác nhƣ địa chỉ danh sách thu hồi, địa chỉ của CA, hay chức năng của chứng thƣ.
Signature: Là các tham số thuật toán ký của CA và mã chứ ký của CA
trên tất cả các trƣờng phía trên.