PKI的基本組成
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口（API）等基本構成部分，構建PKI也將圍繞著這五大系統來著手構建。

認證機構（CA）：即數字證書的申請及簽發機關，CA必須具備權威性的特征；

數字證書庫：用于存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；密鑰備份及恢復系統：如果用戶丟失了用于解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況，PKI提供備份與恢復密鑰的機制。但須注意，密鑰的備份與恢復必須由可信的機構來完成。并且，密鑰備份與恢復只能針對解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。

證書作廢系統：證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點,PKI必須提供作廢證書的一系列機制。

應用接口（API）：PKI的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用接口系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保安全網絡環境的完整性和易用性。

通常來說，CA是證書的簽發機構,它是PKI的核心。眾所周知，構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰（即私鑰和公鑰），私鑰只由用戶獨立掌握，無須在網上傳輸，而公鑰則是公開的，需要在網上傳送，故公鑰體制的密鑰管理主要是針對公鑰的管理問題，目前較好的解決方案是數字證書機制。

數字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權威性的電子文檔，形同網絡計算環境中的一種身份證，用于證明某一主體（如人、服務器等）的身份以及其公開密鑰的合法性，又稱為數字ID。數字證書由一對密鑰及用戶信息等數據共同組成，并寫入一定的存儲介質內，確保用戶信息不被非法讀取及篡改。