PKIX định ra một số các chức năng quản lý cần thiết, xem RFC3280. Xem hình 2.3 để thấy các mối tương tác giữa các thành phần của PKI. Các chức năng riêng của từng thành phần sẽ được mơ tả chi tiết trong các phần sau. Chú ý là một trong các chức năng này cĩ thểđược thực hiện off-line.
a. Đăng ký
Các End Entity cần phải đăng ký chứng chỉ số trước khi tham gia vào các dịch vụ của PKI, xem RFC3280. Bước này cĩ liên quan đến việc kiểm tra và xác thực các thơng tin của End Entity. Tùy theo các mức bảo hiểm khác nhau mà quy trình đăng ký cĩ thể cĩ các bước khác nhau. Các bước thực hiện việc đăng ký cĩ thể là on-line và/hoặc off-line. Khi các thơng tin đã được kiểm tra và xác thực CA sẽ cấp chứng chỉ số cho End Entity, những thơng tin nào cần bảo mật sẽđược gửi theo một kênh bảo mật nào, thơng thường sẽ theo hình thức out-of-band.
b. Khởi tạo
Đây là chức năng cần thiết trước khi thực hiện việc đăng ký, ít nhất chức năng này cũng phải khởi tạo được sự tin tưởng đối với End Entity. Các thơng tin cần thiết như chính sách đối với các loại chứng chỉ số cũng được kèm theo. Thơng thường tại bước này cũng sẽ sinh ra cặp khĩa cho End Entity. Cặp khĩa này cĩ thể được sinh ra tại hệ thống của End Entity, RA, CA, hoặc là các thành phần khác như mơ đun bảo mật cứng (ví dụ: Smart Card, Token Hardware). Trên Internet, Browser cũng là một trong các nguồn tin tưởng để sử dụng cho việc sinh khĩa.
c. Chứng thực
Certification là bước cuối cùng trong quá trình đăng ký của End Entity. Tại bước này CA sẽ cấp chứng chỉ số cho End Entity. Nếu như cặp khĩa được sinh ra bên ngồi CA thì các thành phần khĩa cơng khai phải được vận chuyển theo một cách bảo mật nào đĩ. Chứng chỉ số sẽ được gửi cho End Entity, cơng bố trong Repository.
d. Phục hồi cặp khĩa
Cặp khĩa cĩ thể được sử dụng cho việc tạo và kiểm tra chữ ký điện tử, mã hĩa hoặc giải mã. Khi cặp khĩa được sử dụng cho quá trình mã hĩa và giải mã thì cần phải cĩ một cơ chế để phục hồi khĩa, thường sẽ dùng trong trường hợp muốn giải mã dữ liệu mà khĩa riêng khơng cịn dùng hay đã mất, nhưng cần đến thơng tin.
e. Cập nhật cặp khĩa
Các chứng chỉ số chỉ cĩ một thời hạn nhất định. Do vậy cần phải cĩ chức năng cập nhật cặp khĩa bằng việc tạo ra cặp khĩa mới và cấp chứng chỉ số tương ứng với khĩa mới dựa trên các thơng tin của chứng chỉ số cũ. Các cặp khĩa cũ cũng cần phải lưu lại phịng trường hợp muốn sử dụng để kiểm tra chữ ký điện tử hay giải mã thơng tin, nhưng muốn sử dụng chức năng này thì buộc phải cĩ chức năng phục hồi cặp khĩa.
2.3.3.6. Yêu cầu thu hồi
Như trên đã nêu, chứng chỉ số cĩ thời hạn sử dụng. Trong trường hợp chứng chỉ số vẫn cịn hạn, nhưng vì một lý do nào đĩ mà phải thay đổi hay thu hồi trước thời hạn. Revocation Request cho phép End Entity hoặc RA yêu cầu thơng tin thu hồi của một chứng chỉ số cho trước. Tất nhiên, cơ chế out-of-band cũng cĩ thểđược hỗ trợđể cho End Entity thực hiện quá trình thu hồi chứng chỉ số của họ. Thơng tin về sự thu hồi phải được CA hoặc CRL Issuer hoặc một đối tượng được ủy quyền. Chu kỳ cơng bố CRL phụ thuộc vào chính sách của CA.
f. Chứng thực chéo
Hình 2.3 đưa ra hình thức chứng thực chéo xẩy ra giữa các CA. Chứng chỉ số cho hình thức chứng thực chéo được cấp bởi một CA cho một CA khác, xảy ra ở cả hai chiều. Chú ý rằng chứng thực chéo cĩ thể là một chiều và hai chiều. Hai chiều thường xẩy ra giữa các CA ngang hàng. Một chiều theo mơ hình cây, CA cha sẽ chứng thực cho CA con và ngược lại thì khơng.
g. Các chức năng khác
Đĩ là một số chức năng cĩ trong PKIX, xem RFC3280. Tuy nhiên PKIX cũng cần cĩ một vài chức năng để giúp cho PKIX hoạt động được linh hoạt hơn. Các chức năng cĩ thể là:
• Thơng báo việc cập nhật khĩa của CA – thơng báo dứt khốt thơng tin về khĩa của CA.
• Thơng báo về chứng chỉ số – thơng báo về sự tồn tại của một chứng chỉ số khi khơng cĩ một phương pháp khác.
• Thơng báo về sự thu hồi – cung cấp một cơ chếđể thơng báo thơng tin thu hồi cho đối tượng sử dụng.
• Thơng báo về danh sách thu hồi – Cung cấp một phương thức để thơng báo về một loại danh sách thu hồi mới.
• Xác nhận việc cấp chứng chỉ số – áp dụng cho đối tượng sử dụng chấp nhận hay từ chối được cấp chứng chỉ số.