金鑰管理中心（KMC）：金鑰管理中心向CA服務提供相關金鑰服務，如金鑰生成、金鑰儲存、金鑰備份、金鑰恢復、金鑰託管和金鑰運算等。

　　CA認證機構 ：CA認證機構是PKI公鑰基礎設施的核心，它主要完成生成/簽發證書、生成/簽發證書撤銷列表（CRL）、釋出證書和CRL到目錄伺服器、維護證書資料庫和審計日誌庫等功能。

　　RA註冊稽核機構：RA是數字證書的申請、稽核和註冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體，主要負責提供證書註冊、稽核以及發證功能。

　　釋出系統：釋出系統主要提供LDAP服務、OCSP服務和註冊服務。註冊服務為使用者提供線上註冊的功能；LDAP提供證書和CRL的目錄瀏覽服務；OCSP提供證書狀態線上查詢服務。

　　應用介面系統：應用介面系統為外界提供使用PKI安全服務的入口。應用介面系統一般採用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分

　　公鑰密碼證書管理(證書庫）

　　黑名單的釋出和管理(證書撤銷)

　　金鑰的備份和恢復

　　自動更新金鑰

　　自動管理歷史金鑰

　　分散式體系結構的建立

　　認證機構是PKI安全體系的核心，對於一個大型的分散式企業應用系統，需要根據應用系統的分佈情況和組織結構設立多級CA機構。CA信任體系描述了PKI安全體系的分散式結構。

　　證書籤發管理機構

　　CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理，簽發並管理下級CA證書。從安全形度出發，根CA一般採用離線工作方式。

根以下的其他各級CA負責本轄區的安全，為本轄區使用者和下級CA簽發證書，並管理所發證書。理論上CA體系的層數可以沒有限制的，考慮到整個體系的信任強度，在實際建設中，一般都採用兩級或三級CA結構。

　　RA註冊稽核機構設定

　　從廣義上講，RA是CA的一個組成部分，主要負責數字證書的申請、稽核和註冊。除了根CA以外，每一個CA機構都包括一個RA機構，負責本級CA的證書申請、稽核工作。

RA機構的設定可以根據企業行政管理機構來進行，RA的下級級構可以是RA分中心或業務受理點LRA。

　　受理點LRA與註冊機構RA共同組成證書申請、稽核、註冊中心的整體。LRA面向終端使用者，負責對使用者提交的申請資料進行錄入、稽核和證書製作。

　　KMC金鑰管理中心

　　一般來說，每一個CA中心都需要有一個KMC負責該CA區域內的金鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設定，既可以建立單獨的KMC，也可以採用鑲嵌式KMC，讓KMC模組直接執行在CA伺服器上。

　　釋出系統

　　釋出系統是PKI安全體系中的一個重要組成部分。它由用於釋出數字證書和CRL的證書發部系統、線上證書狀態查詢系統（OCSP）和線上註冊服務系統組成。證書和CRL採用標準的LDAP協議釋出到LDAP伺服器上，應用程式可以透過釋出系統驗證使用者證書的合法性。OCSP提供證書狀態的實時線上查詢功能。