Pour assurer la logistique d'attribution, de publication des clés publiques et leur gestion, une organisation baptisée PKI est mise en place.
Elle comprend :

• une autorité de certification (AC, en anglais CA),
• une autorité d'enregistrement, (AE)
• un opérateur de certification (OC),
• un annuaire de publication des certificats,
• un service de validation.

Autorité de Certification (AC, CA)

Elle définit la politique de certification et la fait appliquer.
N'importe quelle organisation peut se déclarer autorité de certification pour ses utilisateurs. Elle utilise sa propre clé privée pour créer les certificats qu'elle délivre. Cette autorité de certification peut elle-même être certifiée par une autre autorité.

Autorité d'Enregistrement

Il s'agit de l'organisme auquel s'adresse l'utilisateur pour obtenir son certificat et ses clés. Celui-ci vérifie la validité et l'authenticité de la demande et la transmet à l'Opérateur de Certification.

Opérateur de Certification

Il remplit plusieurs tâches :

• la création et la distribution des certificats,
• la révocation des certificats,
• la production de cartes à puce,
• avec l'accord de l'Autorité de Certification, il génère éventuellement les clés publiques et privées des utilisateurs,
• enfin, il met à jour un annuaire, en général de type LDAP.

Le système de l'Opérateur de Certification doit être particulièrement bien protégé, pour celà , il est généralement coupé du réseau, d'où certains délais supplémentaires pour les manipulations.

Responsabilité du destinataire d'un document électronique sécurisé (PKI)

Lors d'un échange électronique sécurisé par PKI, la responsabilité du destinataire peut être engagée :

• s'il a accepté une signature comprenant des obligations dépassant les engagements maximaux portés sur le certificat, ou émise après la date de validité inscrite sur le certificat.
• si le certificat a été révoqué avant la création de signature (d'où la nécessité de contrôler les listes de révocation (CRL) fréquemment).

En revanche, elle ne sera en principe pas engagée s'il est établi que le prestataire de service de certification n'a pas fait correctement son travail de vérification.