企业级CA应该可以根据模块进行灵活部署，通常分为几种模式：双层标准模式、双层简化模式、单层单机模式和纯硬件模式。企业级CA模块组成可参考图15-3。

一、双层标准模式

该模式是企业级CA的标准部署结构，将核心层模块和服务层模块分别部署在2个不同的安全域中，安全域之间采用防火墙和VLAN分隔保护。根CA签名模块只签发CA证书，为保证安全性，通过脱机方式实现。加密机通过硬件保护CA密钥对的安全性，保证了证书签发的安全性。

RA受理点的管理员和操作员通过互联网访问部署在中心机房的RA服务器；证书用户通过互联网访问部署在中心机房的用户服务器。

CA管理员、RA管理员、RA操作员、证书用户等，无需配置特殊设备，只采用普通PC就可以访问CA系统。

该模式下，网络部署结构如图17-5所示。

二、双层简化模式

该模式是企业级CA标准部署结构的简化模式，将核心层模块和服务层模块分别部署在2个不同的安全域中，安全域之间采用防火墙和VLAN分隔保护。根CA签名模块只签发CA证书，为保证安全性，通过脱机方式实现。加密机通过硬件保护CA密钥对的安全性，保护了证书签发的安全性。为降低部署硬件成本，核心层所有模块和服务层所有模块分别安装在单台硬件服务器上。

RA受理点的管理员和操作员以及证书用户均通过互联网访问部署在中心机房的RA/服务器。

CA管理员、RA管理员、RA操作员、证书用户等-无需配置特殊设备，只采用普通PC就可以访问CA系统。

该模式下，网络部署结构如图17-6所示。

三、单层单机模式

该模式是企业级CA最简单的部署结构，为进一步降低硬件成本，不再划分安全区域，将核心层和服务层所有模块均部署在同一台硬件服务器上。加密机通过硬件保护CA密钥对的安全性，保证了证书签发的安全性。

RA受理点的管理员和操作员以及证书用户均通过互联网访问部署在中心机房的RA/用户服务器。

CA管理员、RA管理员、RA操作员、证书用户等，无需配置特殊设备，只采用普通PC就可以访问CA系统。

该模式下，网络部署结构如图17-7所示。

四、纯硬件模式

该模式属于“交钥匙”部署模式，无需用户提供任何设备，只需安装证书服务器即可，采用内置式加密卡保护关键密钥的安全性。核心层和服务层所有模块均部署在该证书服务器设备中。

RA受理点的管理员操作员以及证书用户均通过互联网访问部署在中心机房的证书服务器。

CA管理员、RA管理员、RA操作员、证书用户等，无需配置特殊设备，只采用普通PC就可以访问CA系统。

该模式下，网络部署结构如图17-8所示。