定義

PKI是公開(kāi)密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)的縮寫(xiě)，是一套通過(guò)現(xiàn)代密碼學(xué)加密算法提供安全服務(wù)的具有通用性的基礎(chǔ)設(shè)施，是一套安全基礎(chǔ)平臺(tái)的技術(shù)規(guī)范，主要包括：加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。

基本組件

完整的 PKI 系統(tǒng)必須具有數(shù)字證書(shū)、認(rèn)證中心（CA）、證書(shū)資料庫(kù)、證書(shū)吊銷(xiāo)系統(tǒng)、密鑰備份及恢復(fù)系統(tǒng)、PKI 應(yīng)用接口系統(tǒng)等構(gòu)成部分。

數(shù)字證書(shū)

證書(shū)是PKI的核心元素，由CA簽發(fā)包含了用于簽名或加密的公鑰和基本信息（用戶(hù)信息、CA簽名信息等），X.509是目前主流的證書(shū)格式。

根據(jù)驗(yàn)證模式不同有：DV證書(shū)、OV證書(shū)、EV證書(shū)。

根據(jù)域名可以分為：?jiǎn)斡蛎C書(shū)、泛域名證書(shū)、SAN證書(shū)、SAN泛域名證書(shū)

還可以根據(jù)證書(shū)持有者、密鑰產(chǎn)生方式和證書(shū)用途進(jìn)行分類(lèi)。

認(rèn)證中心（CA）

CA(Certificate Authority)又稱(chēng)為證書(shū)授權(quán)機(jī)構(gòu)，主要負(fù)責(zé)數(shù)字證書(shū)的申請(qǐng)及簽發(fā)機(jī)關(guān)，CA必須具備權(quán)威性。

證書(shū)資料庫(kù)存

儲(chǔ)已簽發(fā)的數(shù)字證書(shū)和公鑰，以及相關(guān)證書(shū)目錄，用戶(hù)可由此獲得所需的其他用戶(hù)的證書(shū)及公鑰

證書(shū)吊銷(xiāo)列表（CRL）/OCSP

在有效期內(nèi)吊銷(xiāo)的證書(shū)列表，在線(xiàn)證書(shū)狀態(tài)協(xié)議OCSP是獲得證書(shū)狀態(tài)的國(guó)際協(xié)議

密鑰備份及恢復(fù)

為避免因用戶(hù)丟失解密密鑰而無(wú)法解密合法數(shù)據(jù)的情況，PKI提供備份與恢復(fù)密鑰的機(jī)制。必須由可信的機(jī)構(gòu)來(lái)完成。并且，密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰不能夠作備份

PKI應(yīng)用接口（API）

為各種各樣的應(yīng)用提供安全、一致、 可信的方式與PKI交互，確保建立起來(lái)的網(wǎng)絡(luò)環(huán)境安全可靠，并降低管理成本

總結(jié)

CA 中心管理并運(yùn)營(yíng) CA 系統(tǒng)，CA 系統(tǒng)負(fù)責(zé)頒發(fā)數(shù)字證書(shū)。

專(zhuān)門(mén)負(fù)責(zé)頒發(fā)數(shù)字證書(shū)的系統(tǒng)稱(chēng)為 CA 系統(tǒng)，負(fù)責(zé)管理并運(yùn)營(yíng) CA 系統(tǒng)的機(jī)構(gòu)稱(chēng)為 CA 中心。所有與數(shù)字證書(shū)相關(guān)的各種概念和技術(shù)，統(tǒng)稱(chēng)為 PKI（Public Key Infrastructure）。