PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。称之为“基础设施”是因为它具备基础设施的主要特征。PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。PKI已成为电子商务应用系统，乃至电子政务系统等网络应用的安全基础和根本保障。

PKI的主要目的是通过自动管理密钥和公钥证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

PKI主要包括证书颁发机构CA、注册机构RA、证书服务器、证书库、时间服务器和PKI策略等要素。

1. CA（Certificate Authority）

CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。CA用于创建和发布公钥证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。

CA还负责维护和发布证书撤销列表CRL（Certificate Revocation List）。当一个证书，特别是其中的公钥因为某些原因无效时，CRL提供了一种通知用户和其他应用程序的中心管理方式。CA系统生成CRL以后，可以放到LDAP服务器中供用户查询或下载，也可以放置在Web服务器的合适位置，以页面超级链接的方式供用户直接查询或下载。

CA的核心功能就是发放和管理公钥证书，具体内容如下：

（1）接收验证最终用户数字证书的申请。

（2）确定是否接受最终用户数字证书的申请。

（3）向申请者颁发或拒绝颁发数字证书。

（4）接收、处理最终用户的数字证书更新请求。

（5）接收最终用户数字证书的查询、撤销。

（6）产生和发布证书撤销列表（CRL）。

（7）数字证书的归档。

（8）密钥归档。(www.daowen.com)

（9）历史数据归档。

根CA证书，是一种特殊的证书，它使用CA的私钥对包含CA的公钥的证书的原始数据进行签名。

2. RA（Registration Authority）

RA负责申请者的登记和初始鉴别，在PKI体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤销列表。

3. 证书服务器

证书服务器是负责根据注册过程中提供的信息生成证书的机器或服务。

4. 证书库

证书库是发布证书的地方，提供证书的分发机制。到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRL。它一般采用LDAP目录访问协议，其格式符合X.500标准。

5. 时间服务器

提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。

6. PKI策略

PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

一般情况下，在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一CA是在Internet上的公有CA，还是某一企业内部的私有CA；另外一个就是证书操作管理规范（Certificate Practice Statement，CPS）。一些商业证书颁发机构或者可信的第三方操作的PKI系统需要CPS。这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立和运作的，证书是如何发行、接收和撤销的，密钥是如何产生、注册的，密钥是如何存储的，用户是如何得到它的，等等。