Trong thế giới bảo mật hiện đại, không có “một kích thước phù hợp cho tất cả” khi xây dựng Hệ thống khóa công khai (PKI). Tùy thuộc vào quy mô và yêu cầu sẵn sàng cao của mạng, chúng ta có thể lựa chọn nhiều mô hình triển khai khác nhau – từ Single Root CA đơn giản cho mạng nhỏ đến Hierarchical CA phức tạp hỗ trợ hàng chục ngàn thiết bị, thậm chí Cross-Certification giữa các tổ chức. Dưới đây, chúng ta sẽ cùng xem xét từng phương án, đồng thời đưa vào các ví dụ thực tế để bạn dễ hình dung và áp dụng.

---

1. Single Root CA – Phù hợp với mạng quy mô nhỏ

Trong những mạng có vài chục đến vài trăm thiết bị (ví dụ văn phòng chi nhánh với ~50–200 máy), một Root CA duy nhất có thể đáp ứng cơ bản nhu cầu phát hành và xác thực chứng chỉ. Ưu điểm:

• Triển khai nhanh, dễ quản lý.
• Chi phí thấp: không phải vận hành thêm hệ thống phụ trợ.
• Đơn giản hóa: ít điểm lỗi, ít bước cấu hình.

Tuy nhiên, khi số lượng client tăng lên vài nghìn hoặc hàng chục nghìn (ví dụ mạng trường học Đại học 10.000 thiết bị hoặc hệ thống IoT doanh nghiệp 15.000 sensor), một CA đơn lẻ có thể trở thành “điểm nghẽn”:

• Công suất xử lý yêu cầu ký/chứng thực quá tải.
• Thời gian phản hồi truy vấn CRL (Certificate Revocation List) chậm.
• Thiếu khả năng chịu lỗi khi CA chính gặp sự cố.

Ví dụ thực tế: Văn phòng chi nhánh A có 80 người dùng, 30 máy in và 10 camera IP – Single Root CA là lựa chọn đủ tốt. Nhưng khi triển khai PKI cho toàn công ty với 5 chi nhánh, tổng cộng 2.500 thiết bị, bạn đã cần nghĩ đến phương án tăng cường.

---

2. Hierarchical CA với Subordinate CAs – Nâng cao sẵn sàng và mở rộng

Để chia tải và tăng khả năng chịu lỗi, mô hình Hierarchical PKI sử dụng một Root CA “tối cao” và nhiều Subordinate CA (còn gọi là Intermediate CA).

1. Root CA chỉ hoạt động khi khởi tạo hoặc ký số cho các Subordinate CA.
2. Subordinate CA chịu trách nhiệm phát hành (issue) và thu hồi (revoke) chứng chỉ cho end-entities (máy chủ, user, IoT…).

Lợi ích chính:

• Tách biệt vai trò: bảo vệ Root CA an toàn, chỉ hoạt động giới hạn.
• Chia tải: mỗi Subordinate CA phục vụ một khu vực, phòng ban hoặc loại dịch vụ (VPN, email, IoT).
• Khả năng chịu lỗi: nếu một Subordinate CA bị lỗi, các CA khác vẫn hoạt động bình thường.

Luồng xác thực chuỗi cấp phép (certificate chain)

• Client cần có certificate chain: [Server Cert] → [Sub CA Cert] → [Root CA Cert]
• Khi thêm cấp độ, chain sẽ dài thêm, nhưng logic vẫn là “từ dưới lên trên”: xác thực chữ ký của Subordinate CA, rồi đến Root CA.

---

3. Cross-Certifying CAs – Xây cầu tin cậy ngang hàng

Khi hai tổ chức hoặc hai hệ thống PKI riêng biệt muốn trao đổi chứng chỉ và tin tưởng lẫn nhau, chúng ta dùng cross-certification:

• Mỗi CA sẽ ký số cho certificate của CA kia, tạo thành một mối quan hệ tin cậy ngang hàng (horizontal trust).
• Client của tổ chức A có thể chấp nhận chứng chỉ do CA của tổ chức B cấp, và ngược lại.

Kịch bản ứng dụng:

• Liên kết đối tác: Công ty A và Công ty B hợp tác phát triển dịch vụ chung, cần xác thực end-user từ hai bên.
• M&A, sáp nhập: Khi sáp nhập, thay vì gỡ bỏ hoàn toàn PKI cũ, chúng ta cross-certify tạm thời để giữ vận hành liên tục.

Ví dụ cụ thể:
Công ty A (PKI_A) và Công ty B (PKI_B) ký cross-certificate. Khi nhân viên B truy cập VPN của A, họ dùng certificate do PKI_B cấp, nhưng hệ thống A vẫn chấp nhận sau khi kiểm tra chain:

[VPN Cert] → [CA_B Cert] → [CA_A Cert] → (Tin cậy sẵn)

---

Kết luận

Việc lựa chọn topology PKI phù hợp không chỉ phụ thuộc vào quy mô mạng mà còn liên quan đến yêu cầu sẵn sàng, bảo mật và điều kiện vận hành:

• Mạng nhỏ, thử nghiệm: Single Root CA
• Mạng trung đến lớn, yêu cầu fault tolerance: Hierarchical CA với Subordinate CAs
• Hợp tác nhiều bên, sáp nhập – liên doanh: Cross-Certifying CAs

Hãy cân nhắc kỹ tính chất ứng dụng, khả năng mở rộng và chi phí vận hành trước khi triển khai PKI. Với những kiến thức này, đội ngũ network engineer và cybersecurity có thể thiết kế hệ thống chứng thực số vững chắc, linh hoạt, đáp ứng nhu cầu thực tế của các doanh nghiệp Việt.