公開密匙基礎設施PKI的組成和基本功能是什么？

密鑰管理中心（KMC）：密鑰管理中心向CA服務提供相關密鑰服務，如密鑰生成、密鑰存儲、密鑰備份、密鑰恢復、密鑰托管和密鑰運算等。

CA認證機構 ：CA認證機構是PKI公鑰基礎設施的核心，它主要完成生成/簽發證書、生成/簽發證書撤銷列表（CRL）、發布證書和CRL到目錄服務器、維護證書https://www.b5b6.com/shujuku/和審計日志庫等功能。

RA注冊審核機構：RA是數字證書的申請、審核和注冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體，主要負責提供證書注冊、審核以及發證功能。

發布系統：發布系統主要提供LDAP服務、OCSP服務和注冊服務。注冊服務為用戶提供在線注冊的功能；LDAP提供證書和CRL的目錄瀏覽服務；OCSP提供證書狀態在線查詢服務。

應用接口系統：應用接口系統為外界提供使用PKI安全服務的入口。應用接口系統一般采用API、COM等多種形式。一個典型、完整、有效的PKI應用系統至少應具有以下部分

公鑰密碼證書管理(證書庫）

黑名單的發布和管理(證書撤銷)

密鑰的備份和恢復

自動更新密鑰

自動管理歷史密鑰

分布式體系結構的建立

認證機構是PKI安全體系的核心，對于一個大型的分布式企業應用系統，需要根據應用系統的分布情況和組織結構設立多級CA機構。CA信任體系描述了PKI安全體系的分布式結構。

證書簽發管理機構

CA在內的各級CA。根CA是整個CA體系的信任源。負責整個CA體系的管理，簽發并管理下級CA證書。從安全角度出發，根CA一般采用離線工作方式。

根以下的其他各級CA負責本轄區的安全，為本轄區用戶和下級CA簽發證書，并管理所發證書。理論上CA體系的層數可以沒有限制的，考慮到整個體系的信任強度，在實際建設中，一般都采用兩級或三級CA結構。

RA注冊審核機構設置

從廣義上講，RA是CA的一個組成部分，主要負責數字證書的申請、審核和注冊。除了根CA以外，每一個CA機構都包括一個RA機構，負責本級CA的證書申請、審核工作。

RA機構的設置可以根據企業行政管理機構來進行，RA的下級級構可以是RA分中心或業務受理點LRA。

受理點LRA與注冊機構RA共同組成證書申請、審核、注冊中心的整體。LRA面向最終用戶，負責對用戶提交的申請資料進行錄入、審核和證書制作。

KMC密鑰管理中心

一般來說，每一個CA中心都需要有一個KMC負責該CA區域內的密鑰管理任務。KMC可以根據應用所需PKI規模的大小靈活設置，既可以建立單獨的KMC，也可以采用鑲嵌式KMC，讓KMC模塊直接運行在CA服務器上。

發布系統

發布系統是PKI安全體系中的一個重要組成部分。它由用于發布數字證書和CRL的證書發部系統、在線證書狀態查詢系統（OCSP）和在線注冊服務系統組成。證書和CRL采用標準的LDAP協議發布到LDAP服務器上，應用程序可以通過發布系統驗證用戶證書的合法性。OCSP提供證書狀態的實時在線查詢功能。