公鑰基礎設施簡稱PKI，是一個以公鑰技術為基礎给予和實施安全服務的具有普適性的安全基礎設施。它旨在解決網上身份認證、信息的完整性和不可抵賴性等安全問題。

實際應用中,PKI在不明確對方身份或分佈地的情況下,顺利获得一系列的信任關係，给予了一套使用戶以數字證書為基礎的安全機制,來實現信息的保密性、完整性和不可否認性。它是一套軟硬件系統和安全策略的集合。

一個典型的PKI系統包括PKI策略、軟硬件系統、認證组织CA、證書/CRL庫、證書撒銷處理系統、密鑰備份及恢復系統和應用程式接口等部分,它的基本組成如下圖所示:

1.PKI策略

PKI體系的建立和運行是需要一套策略的，如CA可以為哪些人頒發證書,頒發證書的流程是怎樣的,這都需要一套策略來指導。

PKI策略是一個包含增強和支持安全策略的一些操作過程的詳細文檔。在PKI中有兩種類型的策略:一是證書策略( CP),用來說明證書的適用範圍或應用分類,例如證書策略可以限定證書的用戶群、用戶使用證書的目的等;另一種是認證慣例聲明( CPS),它是一份詳細的文檔,包括如何建立和執行CA,如何發行、接受和廢除證書,如何生成、註冊和鑑定密鑰,以及如何確立證書的存放位置和如何讓用戶使用。

2.軟硬件系統

軟硬件系統是PKI系統運行所需硬件和軟件的集合,主要包括認證服務器、目錄服務器、PKI平台、應用程式接口、數據庫等。

3.密鑰備份與恢復系統

企業級的PKI產品至少應支持密鑰的安全存儲、備份和恢復。其功能包括：

(1)當用戶證書生成時,用戶公鑰即被PKI備份存儲。

(2)當需要恢復密鑰時,用戶只需向CA提出申請即可；但須注意,密鑰備份與恢復系統只能備份用戶的公鑰,不能備份私鑰。

(3)歸檔密鑰,如當一個公司的員工辭職時,PKI系統管理員一方面要使該證書作廢,使證書中的公鑰無效,另一方面為了訪問以前被該公鑰加密的文件等信息,需要保留備份該公鑰。

4.PKI應用程式接口系統

一個完整的PKI有必要有應用程式接口,使程序以安全、共同、可信的方法與PKI體系進行交互,並減少維護和管理成本。讓用戶可以方便地運用加密、數字簽名、身份認證等服務。

為了向運用體系屏蔽密鑰和證書辦理的細節,PKI應用程式接口需要是跨平台的並具有以下功能：

(1) 為使用公鑰證書的所有應用给予支持，以完成證書的驗證工作。

(2)為應用程式给予統一的密鑰備份與恢復支持,向應用给予歷史密鑰的安全管理服務。

(3)阻止備份私鑰的行為。 

(4)實現密鑰更新的自動、透明與一致。

(5)為所有用戶訪問統一的公用證書庫给予支持。

(6)向所有應用给予統一的證書撤銷處理服務。

也就是說需要能夠理解證書策略,知道何時和怎樣去執行證書撤銷操作。

(7)完成交叉證書的驗證工作,為所有應用程式给予統一模式的交叉驗證支持。

(8)接口系統支持多種密鑰存放介質,包括IC卡、安全文件等,並有相應的防複製技術。

5.PKI的部署

部署PKI時,推薦將PKI的主要功能部件放在各自分開的系統中,即CA放在一台主機中,RA放在另一台主機中,而目錄服務器又放在其他系統中。CA系統尤為重要,因為CA出現一點問題就可能使整個PKI癱瘓,從而不得不重新簽發所有的證書。因此建議將CA放在專設的防火牆之後,這樣它就可以得到Internet防火牆和企業內的防火牆的雙重保護。當然,企業內的防火牆應允許CA與RA及其他系統之間進行通信，如果不同PKI之間想互相訪間對方的證書,它們的目錄對對方必須是可用的,與此同時,目錄服務器可能包含對於組織來說比較敏感的不適合公用的數據。為分析決這個問題,一般的方法是創建一個只包含公開密鑰或證書的目錄,並把這個目錄放在組織邊界上。該目錄（稱為邊界目錄）既可以放置在企業防火牆之外,也可在企業內部網的DMZ區中,這樣它既可以公用,又可以被較好地保護起來。

企業內部網內的主目錄服務器將會定期以新證書刷新邊界目錄或更新現有證書。全業內的用戶可以使用主目錄,而其他系統或組織的用戶只能使用邊界目錄。例如,當組織A中的用戶想向組織B中的用戶發送加密電子郵件時,用戶A將從組織B的邊界目錄中尋找用戶B的證書,然後用該證書中的公鑰將電子郵件加密。