理论上，图2-5或图2-6的加密方法和数字签名技术可以保证发文单位的确认，保证收到的文件是该单位发出的、完整有效和不可抵赖的。但如果发方单位的公开密钥的可靠性不能保证，则发方单位是否真实存在、是否合法可信、是否有法律责任能力等就不那么容易确定了。为了使收方能确定发方是客观存在的、合法的、有法律责任能力的单位，可设立权威的第三方机构负责确认收发双方是否均是合法存在的法人单位机构，这第三方权威机构称为认证机构或认证中心。它确认一个交易法人的合法名称、法人代表、地址，并对其分配一对唯一的私钥和公钥，然后颁发一张证书给该单位，该证书称为数字证书。数字证书上有认证中心的数字签名。数字证书发布于单位自己或认证中心的网页上，供交易对方查阅，从而使交易对方能确信该单位的合法性和可信性。

第十三届全国人民代表大会常务委员会第十次会议修正的《中华人民共和国电子签名法》对电子认证机构的义务进行了规定，主要包括：（1）电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则；（2）电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查；（3）电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；（4）电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方，同时应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，做出妥善安排；（5）电子认证服务提供者应当妥善保存与认证相关的信息，保存期限至少为电子签名认证证书失效后五年。

CA机构作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。由此可见，建设证书授权中心是开拓和规范电子商务市场必不可少的一步。

CA机构自己也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书（含公钥），用以验证它所签发的其他证书的权威性、合法性。如果用户想得到一份属于自己的证书，应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个唯一的公钥，并且将该公钥与申请者的身份信息绑在一起，为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个商务用户证书的真伪，就可以用CA的公钥对该证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

CA认证系统主要由以下三个部分组成。(www.daowen.com)

（1）密钥管理中心（Key Management centre，KMC）：提供加密证书密钥对全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。

（2）证书签发管理系统（CA）：提供用户数字证书的签发和管理。

（3）证书注册管理系统（Registration Authority，RA）：提供用户数字证书的申请、身份审核、证书下载与证书管理等服务。

除此之外，很多认证中心还提供许多其他安全产品和增值服务。