In einer PKI können Instanzen wie Personen, Organisationen und Computer Zertifikate bei einer Registrierungsstelle (Registration Authority, RA) beantragen. Sie genehmigt den Antrag nach Prüfung der Richtigkeit der Daten im gewünschten Zertifikat. Daraufhin stellt eine Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat zur Verfügung und signiert es. Je nach Sicherheitsstufe kann dies ein automatisiertes Verfahren sein oder unter menschlicher Aufsicht erfolgen. Eine Instanz muss in jeder CA-Domäne eindeutig identifizierbar sein. Eine Drittanbieter-Validierungsstelle (Validation Authority, VA) kann die dafür nötige Information über die Instanz im Namen der Zertifizierungsstelle zur Verfügung stellen.