PKI系统的数字证书失效或者撤销后应该归档，以满足依赖方对过去信息的阅读和验证要求。

PKI系统所产生过的数字证书的总量会远远大于当前有效的数字证书的总量。如果把CA所颁发的数字证书看作一个集合，则集合中元素的个数为该CA自建立以来所颁发的所有数字证书的个数。由于证书失效、证书更新、证书撤销以及新的证书签发，这个集合是不断膨胀的。证书的失效、更新和撤销形成的动态形式，造就了大量的无效（各种原因导致）证书。

PKI系统不能放弃或者试图“忘记”这些已经失效的数字证书，反而必须存储和“记住”这些已经失效的数字证书，这也就是证书的归档。此外，CA所发布的CRL信息，跟数字证书具有类似性，也必须归档。CRL信息也具有活跃的动态性，假设CA每天发布一次CRL，那么每天都会产生一个作废失效的CRL。PKI也应当对CRL采取类似于数字证书一样的归档操作。

PKI系统希望提供有延续性的验证服务，则必须通过归档来做到。如果数字证书或者CRL在被更替后没有进行合适的归档处理，那么PKI系统就可能无法对过去的一些签名提供验证服务。

试举一个简单的例子来说明。假设CA在2000年1月1日给甲签发了一个序列号为12345的数字证书，该证书的到期日为2010年1月1日。甲在2005年1月1日用此证书的私钥签名了一份文件A。甲在2006年1月1日发现安全问题，当日对此证书申请撤销，CA在当日批准并加入当日的CRL。此后，甲向CA重新申请证书，CA在2006年2月1日重新为甲签发了一个序列号为12346的数字证书，有效期到2020年1月1日。自此，甲和CA都没有对序列号为12346的证书进行过更新或者撤销。由于某些纠纷，在2007年1月1日的时候，乙希望验证文件A上的甲的签名。显然乙无法用甲现有的序列号为12346的证书验证文件A上的签名。但是我们知道，已经作废的序列号为12345的证书是可以用来成功验证此签名的。因此，PKI系统应当对这份作废的证书归档处理，以便在需要时调出使用。此外，在验证文件A上的签名时，签名发生当天的CRL也应该从归档中被提出，来证明在2005年1月1日时，序列号为12345的证书是合法有效的。可见，如果PKI系统没有对旧的证书和CRL进行归档处理，那么甲在文件A上的签名将无法得到验证，甲也就可以抵赖这份签名，PKI系统在这种情况下就失去了它应有的服务功能。读者可通过图 1加强对归档必要性的理解。

证书的归档没有固定的形式，但是它确实是必须的，PKI系统必须支持对无效证书和CRL等数据的归档处理，以能在需要的时候为PKI系统依赖方找到所需要的验证或解密用的信息，如旧的数字证书或CRL。

综上所述，证书的归档来源于证书和CRL本身的动态变化性和PKI系统最核心服务的持续性要求。证书和CRL的动态性本身也是必须的，但是应该明确地意识到这两者的更替不应该是忘却性的更替，而应该是通过有迹可循的更替来满足PKI系统的核心服务的持续可获得性。