Sự chứng thực của người dùng được tạo bởi CA có các đặc điểm sau:
o Bất kỳ người dùng nào truy suất khóa công khai của CA thì có thể khôi phục khóa công khai của người dùng mà đã chứng thực.
o Chỉ có CA mới có thể làm thay đổi được sự chứng thực.
Bởi vì sự chứng thực là không thể đoán trước nên chúng có thể được đặt trong một thư mục mà không cần thiết phải cố gắng để bảo vệ chúng.
Nếu tất cả người dùng hướng tới cùng một CA thì có cùng độ tin cậy với CA đó. Tất cả chứng thực của người dùng có thể được đặt trong thư mục cho tất cả các người dùng truy xuất. Ngoài ra, người dùng có thể truyền chứng thực của mình trực tiếp tới các người dùng khác.
Nếu nhóm người dùng ở trong một mạng truyền thông lớn thì không thể áp dụng cho tất cả nhóm người dùng được mô tả bởi cùng một CA bởi, mỗi người dùng tham gia phải có một bản sao khóa công khai của riêng CA để làm rõ chữ ký. Khóa công khai này phải được cung cấp tới mỗi người dùng trong cách thức bảo mật tuyệt đối để cho mỗi người dùng đảm bảo tính bí mật trong sự chứng thực liên quan.
Giả sử A đã đưa ra một chứng thực từ CA X1 và B đã đưa ra một chứng thực từ CA X2. Nếu A không biết sự bảo mật khóa công khai của X2 thì chứng thực của B không có ích với A. A có thể đọc chứng thực của B nhưng A không thể làm rõ chữ ký. Tuy nhiên nếu hai CA có sự trao đổi một cách bảo mật các khóa công khai của chúng thì thủ tục sau sẽ cho phép A đưa ra khóa công khai của B:
o A đưa ra thư mục sự chứng thực của X2 được ký bởi X1. Bởi vì A biết khóa công khai của X1 nên A có thể đưa ra khóa công khai của X2 từ sự chứng thực của nó và làm rõ nó bằng chữ ký trên bản chứng thực của X1.
o Sau đó A quay lại thư mục và đưa ra bản chứng thực của B được ký bởi X2. Bởi vì giờ đây A đã có một bản sao tin cậy về khóa khai của X2 nên A có thể làm rõ chữ ký và đưa ra khóa công khai của B.
A đã sử dụng một dây truyền các chứng thực để đưa ra khóa công khai của B như sau:
X1 <<X2>>X2<<B>>
Tương tự B có thể đưa ra khóa công khai của A: X2 <<X1>>X1<<A>>
Mở rộng dây truyền với N phần tử:
X1 <<X2>>X2<< X3>>…Xn<<B>>
Trong dây truyền này mỗi cặp CA (Xi, Xi+1) có thể tạo chứng thực cho mỗi cặp khác.
Tất cả sự chứng thực của các CA bởi CA này cần xuất hiện trong thư mục và người dùng cần biết làm sao để liên kết chúng theo một đường dẫn tới sự chứng
thực khóa công khai của người dùng khác. Trong tiêu chuẩn X.509 về hệ thống hạ tầng khóa công khai, mạng lưới CA tạo thành cây từ trên xuống với gốc là một CA trung tâm mà không cần được chứng thực bởi một bên thứ 3 nào khác. Ví dụ:
Hình 3.2 Ví dụ minh hoạ sơ đồ thứ tự phân cấp
Đường nối các vòng trong chỉ mối quan hệ phân cấp giữa các CA, các hộp vuông chỉ ra các chứng thực đã duy trì trong thư mục cho mỗi CA. Mỗi CA X bao gồm hai kiểu chứng thực:
Chứng thực về phía trước: chứng thực của X được tạo ra bởi CA khác.
Chứng thực được đảo ngược (quay lui): chứng thực của CA khác được tạo ra bởi X. Trong ví dụ này người dùng A có thể yêu cầu sự chứng thực sau từ thư mục để thiết lập một đường dẫn tới B:
X<<W>>W<<V>>V<<Y>>Y<<Z>>Z<<B>> Khi đó A có thể biết được khóa công khai của B. Tương tự khi B cần thiết khóa công khai của A:
Z<<Y>>Y<<V>>V<<W>>W<<X>>X<<A>>