根據運營型CA的安全要求,CA中心需要劃分不同安全級別的安全域,並把不一樣的模塊部署在不同的安全域內。按照安全級別的高低,CA中心的安全域主要包括：

①KM區:部署密鑰管理系統。

②核心區:部署證書CRL簽發系統、主LDAP系統、主OCSP系統等。

③管理區:部署證書管理系統。

④服務區:部署從LDAP系統、從OCSP系統、RA系統等。

KM區內,密鑰管理系統只接收來自核心區的證書CRL簽發系統的服務請求。核心區內,證書CRL簽發系統只接收來自管理區證書管理系統的請求；主LDAP系統和主OCSP系統都是單向通信,只定期將數據同步到服務區內的從LDAP系統和從OCSP系統,管理區內,證書管理系統只接收來自服務區RA系統的各種業務請求。服務區內,RA系統負責面向直接用戶,给予證書申請、身份審核和證書下載等服務。

各安全域之間顺利获得防火牆進行邊界保護,並部署IDS、漏洞掃描、防病毒等安全系統進行網絡安全和主機安全防護。

為確保業務的陆续在性,儘量降低或避免單點故障對運營服務的營銷,可配置雙網絡鏈路、核心服務器雙機熱備、磁盤陣列等。為保證業務服務性能,從LDAP系統和從OCSP系統的硬件服務器性能要優於其他服務器。

當RA採取瀏覽器/服務器(BS)模式時,可把服務區與管理區網絡放在同一網段。