證書鏈(certificate chain)
證書鏈可以有任意環節的長度，所以在三節的鏈中，信任錨證書CA 環節可以對中間證書籤名；中間證書的所有者可以用自己的私鑰對另一個證書籤名。CertPath API 可以用來遍歷證書鏈以驗證有效性，也可以用來構造這些信任鏈。
Web 瀏覽器已預先配置了一組瀏覽器自動信任的根 CA 證書。來自其他證書授權機構的所有證書都必須附帶證書鏈，以檢驗這些證書的有效性。證書鏈是由一系列 CA 證書發出的證書序列，最終以根 CA 證書結束。
證書最初生成時是一個自簽名證書。自簽名證書是其簽發者（簽名者）與主題（其公共密鑰由該證書進行驗證的實體）相同的證書。如果擁有者向 CA 傳送證書籤名請求 (CSR)，然後輸入回響，自簽名證書將被證書鏈替換。鏈的底部是由 CA 發布的、用於驗證主題的公共密鑰的證書（回復）。鏈中的下一個證書是驗證 CA 的公共密鑰的證書。通常，這是一個自簽名證書（即，來自 CA、用於驗證其自身的公共密鑰的證書）並且是鏈中的最後一個證書。
在其他情況下，CA 可能會返回一個證書鏈。在此情況下，鏈的底部證書是相同的（由 CA 簽發的證書，用於驗證密鑰條目的公共密鑰），但是鏈中的第二個證書是由其他 CA 簽發的證書，用於驗證您向其傳送了 CSR 的 CA 的公共密鑰。然後，鏈中的下一個證書是用於驗證第二個 CA 的密鑰的證書，依此類推，直至到達自簽名的根證書。因此，鏈中的每個證書（第一個證書之後的證書）都需要驗證鏈中前一個證書的簽名者的公共密鑰。