2) CA邏輯結(jié)構(gòu)

為便于CA進行數(shù)字證書的申請、簽發(fā)、發(fā)布、更新以及撤銷等全生命過程的管理，CA 內(nèi)部各個系統(tǒng)在邏輯上可分為核心層、管理層和服務層三層，如下圖所示：

　　其中，核心層由密鑰管理系統(tǒng)、證書簽發(fā)系統(tǒng)、證書存儲發(fā)布系統(tǒng)組成；管理層由證書管理系統(tǒng)和安全管理系統(tǒng)等組成；服務層由本地注冊系統(tǒng)、遠程注冊系統(tǒng)和發(fā)布查詢系統(tǒng)等組成。

按照實際建設時的機構(gòu)設置分，一個完整的證書認證服務系統(tǒng)一般采用層次的結(jié)構(gòu)，即按照根CA(Root CA，RCA)下設CA、CA下設子CA(Suborc'linate CA，SC A)、SCA下設RA 這樣的層次結(jié)構(gòu)建設。為管理方便，且根據(jù)行業(yè)或地區(qū)進行劃分，一個RCA可以下設多個CA、一個CA可以管理多個RA等。通常根據(jù)系統(tǒng)建設規(guī)模大小，又可以靈活地設計為RCA- CA-SCA-RA四層結(jié)構(gòu)、RCA-CA-RA三層結(jié)構(gòu)或CA-RA兩層結(jié)構(gòu)。