PKI（Public key Infrastructure）全称为公钥基础设施，而CA认证机构则是PKI的核心执行机构，是PKI的主要组成部分，业界人士通常称它为认证中心。从广义上讲，认证中心还应该包括证书申请注册机构RA（Registration Authority），它是数字证书的申请注册、证书签发和管理机构。CA的主要职责包括：

1、验证并标识证书申请者的身份。对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查，确保证书与身份绑定的正确性。

2、确保CA用于签名证书的非对称密钥的质量和安全性。为了防止被破译，CA用于签名的私钥长度必须足够长并且私钥必须由硬件卡产生，私钥不出卡。

3、管理证书信息资料。管理证书序号和CA标识，确保证书主体标识的惟一性，防止证书主体名字的重复。在证书使用中确定并检查证书的有效期，保证不使用过期或已作废的证书，确保网上交易的安全。发布和维护作废证书列表（CRL），因某种原因证书要作废，就必须将其作为“黑名单”发布在证书作废列表中，以供交易时在线查询，防止交易风险。对已签发证书的使用全过程进行监视跟踪，作全程日志记录，以备发生交易争端时，提供公正依据，参与仲裁。
    PKI作为安全基础设施，能为不同的用户按不同安全需求提供多种安全服务。这些服务主要包括认证、数据完整性、数据保密性、不可否认性、公正及时间戳服务。

1、认证

认证服务即身份识别与鉴别，就是确认实体即为自己所声明的实体，鉴别身份的真伪。我们以甲乙双方的认证为例：甲首先要验证乙的证书的真伪，当乙在网上将证书传送给甲时，甲首先要用CA的公钥解开证书上CA的数字签名，如果签名通过验证，则证明乙持有的证书是真的接着甲还要验证乙身份的真伪，乙可以将自己的口令用自己的私钥进行数字签名传送给甲，甲已经从乙的证书中或从证书库中查得了乙的公钥，甲就可以用乙的公钥来验证乙的数字签名。如果该签名通过验证，乙在网上的身份就确凿无疑。

2、数据完整性服务

数据完整性服务就是确认数据没有被修改。实现数据完整性服务的主要方法是数字签名，它既可以提供实体认证，又可以保障被签名数据的完整性，这是由密码哈希算法和签名算法提供的保证。哈希算法的特点是输入数据的任何变化都会引起输出数据不可预测的极大变化，而签名是用自己的私钥将该哈希值进行加密，然后与数据一道传送给接受方。如果敏感数据在传输和处理过程中被篡改，接受方就不会收到完整的数据签名，验证就会失败。反之，如果签名通过了验证，就证明接收方收到的是未经修改的完整数据。

3、数据保密性服务

PKI的保密性服务采用了“数字信封”机制，即发送方先产生一个对称密钥，并用该对称密钥加密敏感数据。同时，发送方还用接收方的公钥加密对称密钥，就像把它装入一个“数字信封”。然后，把被加密的对称密钥（“数字信封”）和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”，并得到对称密钥，再用对称密钥解开被加密的敏感数据。

4、不可否认性服务

不可否认性服务是指从技术上保证实体对其行为的认可。在这中间，人们更关注的是数据来源的不可否认性、接收的不可否认性以及接收后的不可否认性。此外还有传输的不可否认性、创建的不可否认性和同意的不可否认性。

5、公证服务

PKI中的公证服务与一般社会公证人提供的服务有所不同，PKI中支持的公证服务是指“数据认证”，也就是说，公证人要证明的是数据的有效性和正确性，这种公证取决于数据验证的方式。例如，在PKI 中被验证的数据是基于哈希值的数字签名、公钥在数学上的正确性和签名私钥的合法性。