，参数容易修改。（6）易用性：参数的说明直观且易于操作。
5122PKI的组成
一个典型的PKI由下列部件组成：最终实体（E
dE
tity，EE）：也就是PKI中的用户，持有数字证书，是证书的主体。最终用户根据在通信过程中的不同性质，可以分为两类：证书持有者和依赖方（relyi
gparty）。证书持有者即为证书中所标明的用户，依赖方指的是依赖于证书
f（真实性）的用户。在数字签名中，依赖方就是在相信证书真实性的基础上来验证签名的。认证机构（Certificatio
Authority，CA）：可信权威结构，负责颁发、管理和吊销最终实体的证书。CA最终负责它所有最终实体身份的真实性。因此可以认为CA是整个PKI系统的核心，也被称作一个域，一个用户只需要在一个域中进行注册，不同域中的用户需要通信时，通过域之间的信任关系来建立可信的信息交换。注册机构（Registratio
Authority，RA）：可选的管理实体，主要负责对最终用户的注册管理，被CA所信任。尽管注册的功能可以直接由CA来实现，但当PKI域内实体用户数量很大并且在地理上分布很广泛的时候，就有必要建立单独的RA来实现注册功能。证书（及废止列表）库（CertCRLRepository）：开放的电子站点，负责向所有的最终用户公开数字证书和证书废止列表（CRL）。各组成部件及其相互之间的关系如图52所示。
操作和管理事务
5123PKI的基本功能
PKI的主要功能是对密钥和公钥证书进行管理。具体的讲，一个PKI应具备下述功能：证书生成。CA负责签发证书，所以CA需要验证证书申请者的身份，并且CA在签发证书时附有时间标志，表明证书何时过期。CA可以把证书发给申请者，也可以把证书发送到证书发布中心。证书注销。证书可能由于超出有效期而变得无效，或者用户密钥被泄露，或者证书持有者更改姓名等原因，需要注销证书，CA可以通过CRL将作废的证书加以发布。存储和检索证书与CRL（CertificateRevocatio
List，证书注销表）。CA发布的证书及作废证书CRL应该能够方便、快捷的被使用者查找和使用，最常用存储和检索方法是通过目录服务、HTTP和Email。
CertCRLRepository
EE
管理事务管理事务PKI管理实体
发布证书
管理事务
RA
发布证书和废止列表
CA
管理事务
CA
图52PKI的基本组成
f提供信任。用户的主要信任来源于对证书的验证，而这种信任是基于对颁发证书的CA的信任，而对不同管理域的证书的信任还要依靠证书链、或直接交叉认证来实现。证书链处理。用户由CA颁发证书，而CA又由高一级CA颁r