PKI結構可有單個CA、層次結構的CA、網狀結構的CA與橋CA四種情況。四種結構都是PKI的基本屬性決定的:包括PKI中用戶信任的CA的數量與在多CA的PKI環境中,CA之間的信任關係。

1.唯一證書中心的單CA結構

這是最基本的PKI結構。它給PKI中的全部用戶給出證書、證書狀態信息等PKI服務。PKI中的全部用戶信任這個單個CA。每個證書路徑均從此CA的公鑰開始。這就有了單一的用戶信任點。

這種結構的好處是:容易實現,只需建立一個RCA,全部的用戶都能實現。

不好的地方是:不容易擴展到支持大量的或不一樣的群體的用戶。用戶的群體越大,滿足全部必要的應用則越難。

2.層次結構PKI

在現實生活中,一個證書组织非常難受到全部用戶的信任,且接受它發行的全部用戶證書,且此證書组织也很難對全部潛在註冊用戶有夠全方位的分析,這就需要多個CA。人們也期望把單個CA擴展為支持不一樣群體的CA,從而創建一個更大、更多樣化的PKI。兩個互相獨立的CA有2種方式結合在一起產生更大的PKI系統:使用從屬關係或對等關係。

一個顺利获得從屬CA關係構建的PKI叫做層次結構的PKI。在該情況下,所有的用戶都信任同一個RCA。網上交易雙方進行身份認證時,雙方互相給出自己的證書與簽名,由CA來認證證書的有效性與真實性。若一個持有由特定CA發證的公鑰用戶要與由另一個CA發放公鑰證書的用戶安全通信,則需解決跨域的認證。

3.網狀結構PKI

層次結構PKI的傳統代替方式為顺利获得對等關係連接CA。

由對等CA關係構建的PKI系統叫做網狀結構的PKI或“可信任網絡”。網狀PKI里的全部CA均可能為可信任點。一般,用戶信任給他們發放證書的CA。CA之間互相發證書,證書對表示了它們互相的信任關係。因CA間存在對等關係,它們無法管理其餘CA發的各類型的證書。因為此信任關係是不存在限制的,因此若一個CA想要約束這種信任,則它一定會在發給其他CA的證書里體現這些限制。

4.橋CA結構

橋CA結構被設計用於彌補兩種基本的PKI結構的不足與連接結構不一樣的PKI系統。與網狀的CA不一樣的是,橋CA(BCA)不直接發證書給用戶。且BCA不當做一個可信任點,讓PKI里的用戶用,這一點不同於層次結構中的RCA。BCA和不一樣的用戶群體構建對等的可信任關係,可讓用戶維持本來就有的可信任點。這些關係被結合構成“信任橋”，使來自不一樣用戶群體的用戶由確定信任級別的BCA互相作用。

若用戶群體以層次結構的PKI構建信任域,BCA會和此PKI的RCA建立關係。然而,若用戶群體顺利获得網狀結構的PKI建立信任域,則BCA僅需和此PKI中的任一CA建立關係。在兩種情況下,PKI中和BCA構成信任關係的CA均叫“主CA”。