定义

PKI是公开密钥基础设施(Public Key Infrastructure)的缩写，是一套通过现代密码学加密算法提供安全服务的具有通用性的基础设施，是一套安全基础平台的技术规范，主要包括：加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

基本组件

完整的 PKI 系统必须具有数字证书、认证中心（CA）、证书资料库、证书吊销系统、密钥备份及恢复系统、PKI 应用接口系统等构成部分。

数字证书

证书是PKI的核心元素，由CA签发包含了用于签名或加密的公钥和基本信息（用户信息、CA签名信息等），X.509是目前主流的证书格式。

根据验证模式不同有：DV证书、OV证书、EV证书。

根据域名可以分为：单域名证书、泛域名证书、SAN证书、SAN泛域名证书

还可以根据证书持有者、密钥产生方式和证书用途进行分类。

认证中心（CA）

CA(Certificate Authority)又称为证书授权机构，主要负责数字证书的申请及签发机关，CA必须具备权威性。

证书资料库存

储已签发的数字证书和公钥，以及相关证书目录，用户可由此获得所需的其他用户的证书及公钥

证书吊销列表（CRL）/OCSP

在有效期内吊销的证书列表，在线证书状态协议OCSP是获得证书状态的国际协议

密钥备份及恢复

为避免因用户丢失解密密钥而无法解密合法数据的情况，PKI提供备份与恢复密钥的机制。必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥不能够作备份

PKI应用接口（API）

为各种各样的应用提供安全、一致、 可信的方式与PKI交互，确保建立起来的网络环境安全可靠，并降低管理成本

总结

CA 中心管理并运营 CA 系统，CA 系统负责颁发数字证书。

专门负责颁发数字证书的系统称为 CA 系统，负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术，统称为 PKI（Public Key Infrastructure）。