PKI主要有以下幾部分組成。

1.RCA

一個單獨的、可信任的RCA為PKI的基礎。它的私鑰必須安全保管。RCA分發下級CA的證書,並用自己的私鑰簽名,擔保下級CA的認證與信任度。

2.授權组织

CA負責簽發證書和管理證書,對證書的真實性負責。因信任模型不一樣,CA也可能扮演不一樣的角色。在X.509標準中,CA給用戶頒發證書,事實是用戶把他們的“信任”植進CA中。在PGP中,用戶做自己的CA,全部的信任決定由個人決定。

3.註冊组织和本地註冊组织

CA的作用是接受個人申請,檢查核實信息並頒發證書。然而,在很多情況下,將證書的簽發過程與用戶身份的識別、註冊信息的驗證分開是有好處的。RA可達到後一功能,負責匯總本中心各業務受理點的各個類型用戶的證書申請,並負責對某些證書申請進行二級審核,維護且發佈中心管理的用戶的證書黑名單庫。RA主要是為了分擔CA的部分功能來加強可擴展性,RA不頒佈證書與CRL。

LRA負責本地用戶的註冊。用戶得證明它的身份,只要被證明,LRA註冊用戶，從CA得到他們的證書。

4.目錄服務

目錄是PKI的一個重要構成部分。

5.管理協議

PKI管理協議包含PKIX CMP、消息格式、CMMF和PKCS#1O。

6.操作協議

操作協議可讓用戶方便地由目錄、證書庫與其他用戶檢索驗證證書與CRL。

7.客戶端軟件與個人安全環境

客戶端軟件有申請證書、檢索證書、證書撤銷消息、證書的管理等功能,且客戶端軟件得知道CA方的策略等。為保護密鑰,客戶對私鑰一定特別小心並約束訪問PSE。