Organizačné členenie CA

• Registračná autorita. Predstavuje kanceláriu, ktorá zabezpečuje styk s klientmi. Zákazník príde so žiadosťou na registračnú autoritu, ktorá preverí totožnosť žiadateľa. Ak nezistí žiadne nezrovnalosti, žiadosť podpíše svojim privátnym kľúčom a predá certifikačnej autorite. Klient po spracovaní žiadosti si tu môže vyzdvihnúťsvoj certifikát, certifikát CA a aktuálny CRL zoznam.
• Certifikačná autorita. Podľa certifikačnej politiky CA verifikuje žiadosť a vydáva certifikát. Certifikát môže byť odovzdaný klientovi prostredníctvom registračnej autority, alebo pomocou emailu. Certifikát predá tiež správnej autorite, ktorá ju uloží do adresára, aby bola prístupná pre verejnosť. Certifikačná autorita zabezpečuje zverejnenie zoznamu zneplatnených certifikátov tzv. CRL zoznam (Certificate Revocation List). CRL zoznam obsahuje sériové čísla certifikátov, ktoré boli zneplatnené pred vypršaním ich doby platnosti uvedenej v certifikáte, napríklad z dôvodu kompromitovania privátneho kľúča majiteľa certifikátu.
• Správna autorita . Prevádzkuje adresárovú službu, kde sú sprístupnené certifikáty klientov,čo nás zbavuje starosti výmeny klúčov. Po úspešnej verifikácií certifikátu získaného z adresárového servera, CA ručí za identitu majiteľa a za jeho vlastnícky vzťah k verejnému kľúču uvedenému v certifikáte.

Certifikačná autorita sa teda skladá z troch základných častí: registračnej autority, certifikačnej autority a správnej autority. Zákazník odovzdá svoju žiadosť o certifikát registračnej autorite, ktorá môže napr. preveriť totožnosť žiadateľa. Ak je žiadosť v poriadku, registračná autorita ju posunie certifikačnej autorite, ktorá vystaví certifikát a vráti ho registračnej autorite. Registračná autorita ho následne odovzdá žiadateľovi. Certifikačná autorita poskytne certifikát aj správnej autorite, ktorá ho môže uložiť do adresára. Užívatelia môžu potom z neho zístať certifikáty napríklad pomocou LDAP protokolu.