电子认证技术的出现,使得电子商务交易参与各方的身份和交易信息的真实性,安全性和可靠性有了技术上的保障.认证机构主要解决电子商务活动中交易参与各方身份,资信的认定,维护交易活动的安全,是电子认证的认证实施主体。电子认证机构在电子认证过程中有其相应的责任，当然也会有相应的权利和义务。

(一)认证机构的权利

1.要求申请者提供真实资料的权利：对个人申请人，一般要求提供个人的姓名、身份证号、联系电话、寻呼、通信地址、邮政编码、电子邮箱等资料;对单位申请人，除对具体的申请人要求提供上述个人资料外，还要求提供单位名称、单位主页地址、单位营业执照号、工商税号、单位地址、单位电子邮箱、单位所属行业类别、电话、传真等资料;认证机构在遵循合法程序的条件下有权对上述内容进行调查、审核。

2.收取费用的权利：认证机构有权向签署者收取费用。

(二)认证机构的义务

1.颁发证书的义务：认证机构应向符合条件的申请者颁发证书，并将证书内容公布于认证机构的存储器内。认证机构在向申请人颁发证书前应确认下列情况：

(1)列于即将颁发的证书中的人就是未来的签署者;

(2)将颁发证书中的信息是正确的;

(3)未来的签署者合法拥有私密钥，此私密钥与证书中列的公开密钥构成功能性密钥对并且可以用来生成数字签名;

(4)证书中所列的公开密钥可以用来验证由签署者拥有的私密钥生成的数字签名;

(5)数字证书中所使用的公钥算法在现有技术条件下不会被攻破。

2.中止证书的义务：在证书的有效期间内，收到签署者或其代理人的有关中止证书的申请后，认证机构应中止该证书，并在指定地点发布中止的通知。

3.撤销证书的义务：在证书的有效期间内，在下列情况下，认证机构应撤销证书：(1)收到撤销证书的申请，并证实申请是由签署者或其授权代理人发出;(2)收到证实签署者已经死亡的证明复印件或其它有关证明;(3)有证明签署者已经解散或不复存在的有关证明;(4)证书中陈述的重要事实有虚假;(5)不符合颁发证书的要求;

(6)认证机构的私密钥或可信赖系统存在严重影响证书可靠性的情况。在撤销证书时，认证机构须在指定地点发布撤销通知，一般都是在作废证书表中列明。

需要指出的是，电子认证合同的内容不仅包括发放证书，还包括管理证书，如中止证书和撤销证书，可以说，中止证书和撤销证书的义务是基于确保证书内容真实、准确性的义务而派生出来的。

4.使用可信赖系统的义务：认证机构应该使用可信赖系统来完成上述证书的颁发、中止和撤销等项操作。所谓可信赖系统是指计算机的硬件、软件和程序，它们满足以下要求：(1)是相当安全的，可防止侵扰和滥用;(2)具有较高的可用性和可靠性，并提供了正确的操作;(3)非常适合执行它们的固有功能;(4)符合通常公认的安全程序。

5.妥善保管自身私钥的义务：认证机构自身的私钥对于验证该认证机构作为颁发数字证书的机构之身份具有不可或缺的作用，一旦丢失，该认证机构所发出的所有数字证书都将作废，因此应妥善保管。

6.信息发布的义务：认证机构应及时公布有关的信息，例如自身的政策或认证业务声明，证书的发布、中止及撤销的信息等，发布的方式应是醒目的、易发现的。

7.制定及在特定情况下实施灾难恢复计划的义务：灾难恢复计划是指认证机构在遭到攻击，发生通信网络资源毁坏，计算机设备系统不能提供正常服务，软件被破坏，数据库被篡改等现象或因不可抗力造成灾难时，修复设备系统的计划。由于实践中黑客的活动十分猖獗，因此认证机构制定此灾难恢复计划是十分必要的。一旦出现上述灾难，认证机构应积极有效地实施灾难恢复计划