基于公钥密码技术构建的公钥基础设施(PKI)是目前公认的解决大型开放网络环境下信息安全问题最可行、最有效的办法。以实用的企业级PKI系统的设计与开发为背景，从理论和实际应用两个方面探讨PKI系统的两个核心组件：目录服务和在线证书状态验证系统。 随着互联网的发展，目录服务的应用越来越广泛。本文总结了目录服务的标准—X.500与轻型目录访问协议(LDAP)；通过对LDAP目录协议模型、信息模型、命名模型、分布式模型、功能模型、安全模型的详细分析，较为深入地阐述了LDAP目录服务；接着给出了目录服务设计的要点，叙述了一个安全高效的PKI系统的目录服务设计方案；然后解决了目录服务的本地化问题。 在线证书状态协议(OCSP)容许客户通过简单的查询获得实时的证书状态信息，目前在PKI实现中，OCSP已经成为证书撤销列表(CRL)的替代或补充机制，以克服基于CRL机制的延时性、可扩展性差、难于管理等缺陷。基于OCSP机制及其扩展(OCSP-X)，本文提出了一种安全高效、可扩展的在线证书状态验证系统，此系统除了能提供基本的在线证书状态查询服务外，还能支持证书历史状态查询、委托路径验证和委托路径查找服务；然后本文探讨了提高此系统性能与可扩展性的因素，并给出了关于系统安全性的一些考虑。