认证中心CA作为PKI的核心部分，CA实现了PKI中一些很重要的功能，概括的说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。

CA的核心功能就是发放和管理数字证书，具体描述如下。

（1）接收验证用户数字证书的申请。

（2）确定是否接受用户数字证书的申请——证书的审批。

（3）向申请者颁发、拒绝颁发数字证书——证书的发放。

（4）接收、处理用户的数字证书更新请求——证书的更新。

（5）接收用户数字证书的查询、撤销。

（6）产生和发布证书废止列表（CRL）。

（7）数字证书的归档。

（8）密钥归档。

（9）历史数归档。

认证中心CA为了实现其功能，主要由以下三部分组成。

(1)注册服务器：

通过Web Server建立的站点，可为客户提供24小时x7天不间断服务。客户在网上提出证书申请和填写相应的证书申请表。

(2)证书申请受理和审核机构：

负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。

(3)认证中心服务器：

是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。

在具体实施时，CA必须做到以下几点。

（1）验证并标识证书申请者的身份。

（2）确保CA用于签名证书的非对称密钥的质量。

（3）确保整个签证过程的安全性，确保签名私钥的安全性。

（4）证书资料信息（包括公钥证书序列号，CA标识等）的管理。

（5）确定并检查证书的有效期限。

（6）确保证书主体标识的唯一性，防止重名。

（7）发布并维护作废证书列表。

（8）对整个证书签发过程做日志记录。

（9）向申请人发出通知。

在这其中很重要的是CA自己的一对密钥的管理，它必须确保其高度的机密性，防止他方伪造证书。CA的公钥在网上公开，因此整个网络系统必须保证完整性。CA的数字签名保证了证书（实质是持有者的公钥）的合法性和权威性。

用户的公钥有两种产生的方式。

（1）用户自己生成密钥队，然后将公钥以安全的方式传送给CA，该过程必须保证用户公钥的验证性和完整性。

（2）CA替用户生成密钥队，然后将其以安全的方式传送给用户，该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所产生，所以对CA的可信性有更高的要求。CA必须在事后销毁用户的私钥。

一般而言公钥有两大类用途，就像本文前面所述，一个是用于验证数字签名，一个是用于加密信息。相应的在CA系统中也需要配置用于数字签名／验证签名的密钥对和用于数据加密／脱密的密钥对，分别称为签名密钥对和加密密钥对。由于两种密钥对的功能不同，管理起来也不大相同，所以在CA中为一个用户配置两对密钥、两张证书。

CA中比较重要的几个概念点有：

证书库。

证书库是CA颁发证书和撤销证书的集中存放地，它像网上的“白页”一样，是网上的一种公共信息库，供广大公众进行开放式查询。这是非常关键的一点，因为构建CA的根本目的就是获得他人的公钥。时下通常的做法是将证书和证书撤销信息发布到一个数据库中，成为目录服务器，它采用LDAP目录访问协议，其标准格式采用X.500系列。随着该数据库的增大，可以采用分布式存放，即采用数据库镜像技术，将其中一部分与本组织有关的证书和证书撤销列表存放到本地，以提高证书的查询效率，这一点是任何一个大规模的PKI系统成功实施的基本需求，也是创建一个有效的认证机构CA的关键技术之一。

另一个重要的概念是证书的撤销。

由于现实生活中的一些原因，比如说私钥的泄漏，当事人的失踪死亡等情况的发生，应当对其证书进行撤销。这种撤销应该是及时的，因为如果撤销延迟的话，会使得不再有效的证书仍被使用，将造成一定而损失。在CA中，证书的撤销使用的手段是证书撤销列表或称为CRL。即将作废的证书放入CRL中，并及时公布于众，根据实使际情况不同可以采取周期性发布机制和在线查询机制两种方式。

密钥的备份和恢复也是很重要的一个环节。

如果用户由于某种原因丢失了机密数据的密钥，那么被加密文将无法解开，这将造成数据丢失。为了避免这种情况的发生，PKI提供了密钥备份用于解密密钥的恢复机制。这工作也是应该由可信的机构CA来完成的，而且，密钥的备份与恢复只能针对解密密钥，而签名密钥不能做备份，因为签名密钥用于具有不可否认性的证明，如果存有备份的话，将会不利于保证不可否认性。

还有，一个证书的有效期是有限的，

这样的规定既有理论上的原因，又有实际操作的因素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析，同时在实际应用中，证明密钥必须有一定的更换频度，才能得到密钥使用的安全性。因此一个已颁发的证书需要有过期的措施，以便更换新的证书。为了解决密钥更新的复杂性和人工干预的麻烦，应由PKI本身自动完成密钥或证书的更新，完全不需要用户的干预。它的指导思想是：无论用户的证书用于何种目的，在认证时，都会在线自动检查有效期，当失效日期到来之前的某时间间隔内，自动启动更新程序，生成一个新的证书来替代旧证书。