河北CA LOGO

目前国内外主要有两种不同的PKI建设方式，即基于服务的PKI与自建PKI。

自建PKI指的是企业购买整套的PKI平台，然后自行建立一套完整的PKI服务体系。在这种模式下，企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责，其中包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统、灾难恢复，企业还需提供庞大的运营资金作后盾。这种模式需要企业将内部相关人员培训成为PKI专家、法律专家，并要求他们对国家有关安全认证中心（CA）的管理规范和国家管理部门的审批有深刻了解。

基于服务的PKI是指企业根据自身现有的信息系统使用情况，集成一套由可信的第三方提供的PKI平台并对整套的PKI平台进行全权管理，在企业全权控制下的PKI软、硬件与可信第三方高可靠性、高安全性的PKI后台组合在一起对外提供服务。企业只须通过驻留在企业内部的前台系统对后台的企业PKI进行远程控制、监管来对用户提供证书生命周期的各项服务。此模式下，企业只须通过前台系统完成简单的系统配置，而将复杂、专业的其他PKI核心服务及其维护工作交与第三方专业PKI运营公司完成，企业不需要资深的PKI专家、法律专家，只须对其内部相关人员进行简单的培训即可上岗向客户提供数字认证服务，企业也不需要单独承担全部的投资与风险。

PKI/CA发展到今天，这两种模式下的产品从功能上已经没有什么区别，技术已经不是决定市场成败的主要因素，而最重要的是技术支持下的商务模式，相比较而言，基于服务的PKI具有更大的优势。

首先，在成本上，无论是从建设初期成本、风险成本，还是从培训成本、人员成本、维护成本来说，基于服务的PKI的成本都要比自建PKI的成本要低得多。

其次，在应用支持方面，由于基于服务的PKI面向全社会的企业、个人电子商务应用的，因此，它会充分考虑到系统与市场上流行的电子商务软件提供标准接口，以便与所有的电子商务软件提供无缝集成；而基于自建方式的PKI，由于其针对的应用一般都是考虑到PKI与本企业的应用能够集成即可，而忽略了与其他应用系统集成的开放性。

第三，在系统的高可靠性、可扩展性和稳定方面，由于基于服务的PKI一直都在线为其客户提供长期不间断的PKI服务，因此，它的高可靠性和稳定性是毋庸置疑的，而自建方式的PKI虽然也有很多购买了该PKI产品的企业也在提供在线PKI服务，但是由于每个企业购买的PKI都是需要经过一系列客户化改造的，因此，很难从正在运营中的别的PKI来证明自己将来的PKI怎样发展。

第四，在为企业最终用户提供PKI服务方面，因为PKI服务提供商采用纯商业运作模式，市场是它获利的最根本驱动力，所以她必须通过提供更加优质的服务才能立足于市场。因此，在专业性、服务时间、服务效率等方面，自建CA则很难与之相比。

最后，在系统的建设周期方面，自建PKI需要很长的周期，因为自己建设一个PKI系统需要主管部门的审批、资金的筹集、PKI产品的认证、物理环境的准备、系统的安装调试、操作规程的形成、系统的认证以及注册运营。而集成PKI的很多工作是由提供PKI服务的公司事先完成了的，基于服务的PKI可以快速进入并占领市场，更容易把握商机。