Toda PKI tiene al menos una CA que emite certificados y una RA que se encarga del proceso de verificación de la identidad de los usuarios. En realidad en toda PKI “seria” la CA Root no emite certificados finales sino que lo hacen las Cas intermedias. Esta configuración se puede complicar mucho ( n Cas intermedias y tantas Ras como se desee )