PKI主要有以下几部分组成。

1.RCA

一个单独的、可信任的RCA为PKI的基础。它的私钥必须安全保管。RCA分发下级CA的证书,并用自己的私钥签名,担保下级CA的认证与信任度。

2.授权组织

CA负责签发证书和管理证书,对证书的真实性负责。因信任模型不一样,CA也可能扮演不一样的角色。在X.509标准中,CA给用户颁发证书,事实是用户把他们的“信任”植进CA中。在PGP中,用户做自己的CA,全部的信任决定由个人决定。

3.注册组织和本地注册组织

CA的作用是接受个人申请,检查核实信息并颁发证书。然而,在很多情况下,将证书的签发过程与用户身份的识别、注册信息的验证分开是有好处的。RA可达到后一功能,负责汇总本中心各业务受理点的各个类型用户的证书申请,并负责对某些证书申请进行二级审核,维护且发布中心管理的用户的证书黑名单库。RA主要是为了分担CA的部分功能来加强可扩展性,RA不颁布证书与CRL。

LRA负责本地用户的注册。用户得证明它的身份,只要被证明,LRA注册用户，从CA得到他们的证书。

4.目录服务

目录是PKI的一个重要构成部分。

5.管理协议

PKI管理协议包含PKIX CMP、消息格式、CMMF和PKCS#1O。

6.操作协议

操作协议可让用户方便地由目录、证书库与其他用户检索验证证书与CRL。

7.客户端软件与个人安全环境

客户端软件有申请证书、检索证书、证书撤销消息、证书的管理等功能,且客户端软件得知道CA方的策略等。为保护密钥,客户对私钥一定特别小心并约束访问PSE。