每一位使用者拥有一对在认证配置过程中初始化的密码，称为 “ 私匙 ” 和 “公匙 ” 。公匙是共享的，可以嵌入在电子证书中，也可以存放在认证中心服务器上，用于分发。 “ 公匙 ” 用于加密数据，私匙则用于解密。其详细的工作原理涉及到密码学的知识，这里则不详细阐述。

    除了密码系统，由各种软件功能模块组成的对公匙进行管理、应用的设施也很关键。 PKI 基础设施的设计，基于如何管理整个密匙对生命过程和使用流程。整个 PKI 系统包括了如下软件模块：

    认证中心 (Certificate Authority CA) 。它是一个发证中心，可以说是 PKI 体系的中枢。在 CA 中心，会存储一些用户的基本信息，包括 CA 证书的名字、 CA 证书是否可用、 CA 证书使用者基本信息（名称、电子邮件地址）以及 “ 公匙 ” 。当加密传输信息的时候， CA 会验证证书是否仍然有效。如果证书无效， CA 会将其作废。引发证书作废的原因有很多，例如用户离职、忘记密码、认证证书过期、认证证书被破坏等。

    在一些较大的组织机构（甚至一些国家），会有多级 CA 构成多层结构，这涉及到 “ 交叉认证 ” 这一概念。交叉认证是指当一个组织的 PKI 使用者，需要同另外一个组织的 PKI 使用者打交道时，他们各自的 CA 可以通过上一层的某一 CA 中心来沟通，以确认对方身份。

    在多数情况下， CA 是与一套用户注册管理系统 (Registration Authority ，RA) 配套使用的。在企业中， CA 通常由 IT 部门管理，而 RA 则由人事部门管理。RA 接受用户认证请求，一旦用户身份被确认则将其转交给 CA 。根据用户所申请的认证保密程度的不同， RA 从技术上可以为其设置不同的流程进行确认。安全级别要求不高的可以采用程序自动处理的方式，例如只要用户所填的各项信息与其在公司 HR 数据库保存的信息一致即予以通过，或者程序自动验证用户所填写电子邮箱地址有效即可；安全级别高的则可以手工通过，例如当面检验身份证。

    认证分发系统（ Certificate Distribution System ）。它被用来存储 CA 所发出的证书、公匙以及废止证书名单 (CRL) 。 根据 PKI 系统的不同规格，体系也可以使用目录服务器来发放、存储认证证书。目录服务器使用 LDAP （ Lightwei—ght Directory Access Protocol, 轻量级目录访问协议），可以更有效地管理证书用户信息。

    安全策略。 PKI 体系需要在一定的安全策略指导下运行，例如安全证书如何发放、如何作废、如何更新以及如何存储。鉴于 PKI 的重要性，安全策略的管理最好由包含管理层人士、 IT 部门、法律部门在内的团队来负责，由他们共同制订一个满足公司要求的安全策略。

    一个完整的 PKI 产品应具备以下功能：根据 X.509 标准发放证书，产生密钥对，管理密钥和证书，为用户提供 PKI 服务，如用户安全登录、增加和删除用户、恢复密钥、检验证书等。其他相关功能还包括交叉认证、支持 LDAP 协议、支持用于认证的智能卡等。此外， PKI 的特性融入各种应用（如防火墙、浏览器、电子邮件、群件、网络操作系统）也正在成为趋势。

    基于 PKI 技术的 IPSec 协议，现在已经成为架构 VPN 的基础。它可以为路由器之间、防火墙之间，或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但安全性比其他协议都完善得多。

    目前，发展很快的安全电子邮件协议是 S/MIME (The Secure Multipurpose Internet Mail Extension) ，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于 PKI 技术。当发 E-mail 给一位或多位接收人时，发送者可以先将邮件加密、签名。这样，只有指定的接收人才可以在 CA 中心的服务器上取得公匙并开启邮件。即使该邮件被其他人截获，这些人也会因为得不到公匙而无法阅读邮件。

    此外， PKI 还允许客户自行认证证书，即一个企业购买了 PKI 软件后，可以管理本企业内的整个 PKI 体系，如增加、删除用户、恢复密钥、吊销证书等。一般的 PKI 系统都带有编程接口 API ，允许开发人员进行扩充开发，这极大地扩展了 PKI 应用的灵活性。