由於在世界上不可能建立一個所有潛在用戶都共同信任的CA,因此,在電子商務活動中必然存在很多個CA。CA之間的結構關係，即信任關係稱為信任模型。现在常見信任模型有以下幾種：

1.層次型信任模型

這是最常用的一種,該模型是一棵翻轉的樹,其中樹根代表根CA,它被該PKI體系中的所有實體所信任。根A下存在多級的子CA,根CA為自己和直接下級子CA頒發證書,無下級的CA稱為葉A,葉CA為用戶頒發證書。除根CA外的其他CA都由父CA頒發證書。

這種模型中的證書鏈始於根CA,並且從根CA到需要認證的終端用戶之間只存在條路徑,在這條路徑上的所有證書就構成了一個證書鏈。這種模型結構清晰,便於全局管理,但對於大範圍內的商務活動,難以建立一個所有用戶都信任的根CA,而且整個PKI的安全性都依賴於根CA,一旦根CA的私鑰泄露或被破解,整個PKI體系將崩潰。

因此,根CA的私鑰必須得到特殊的保護,通常是讓根CA始終保持離線狀態(根CA付其他CA簽發完證書讓PKI生效後)。這是可行的,因為根CA只向其他上級CA簽發字證書,其簽發頻率很低。相對而言,其他大多數CA都是在為最終實體簽發證書,所以簽發的頻率較高,因而它們必須保持在線狀態。

2.網狀信任模型

這種模型中沒有實體都信任的根CA,通常終端用戶選擇給自己發放證書的CA為根CA,各根CA之間以交叉認證的方式互相頒發證書,如下圖所示。網狀信任模型比較靈活,便於建立特定的信任關係,在有直接信任關係存在時,驗證速度快。但信路徑複雜,而且如果存在多條證書驗證路徑,需要考慮如何有效選擇最短訊任路徑的問題。

3.橋信任模型

在交叉驗證中,網狀信任模型的每一個CA需要向它信任的所有CA逐一頒發證書，如果CA比較多,則要頒發很多證書。橋信任模型也是用來連接不同的PKI體系,而且能避免上述網狀模型的缺點。當根CA很多時,可以指定一個CA為不同的根CA頒發證書,這個被指定的CA稱為橋CA,如下圖所示。當增加一個根CA時,只需要與橋CA進行交叉認證,其他信任域不需要改變。建立橋CA後,其他根CA仍然都是信任錨,這樣允許用戶保留自已的原始信任錨,橋CA為不同的信任域之間建立對等的信任關係。

4.web信任模型

Web信任模型是在瀏覽器產品中內置了多個根CA證書,用戶同時信任這些根CA並把它們作為信任錨。從本質上看,Web信任模型屬於樹形層次模型,瀏覽器廠商相當於根CA的作用。Web信任模型雖然簡單,方便操作,但因為其多個根CA是預先安裝在瀏覽器中的,用戶一般不知道這些根CA證書的來源,無法判斷是否都是可信任的,面且沒有辦法廢除嵌入到瀏覽器中的根證書,一旦發現某個根密鑰是“壞的”或者與根證書對應的私鑰泄露了,讓所有瀏覽器用戶都有效地廢除那個密鑰的使用是不太可能的。此外,該模型還缺少有效方法在CA和用戶之間建立合法協議。如果出現問題,只能由用戶承擔所有責任。