所謂根證書,是CA認證中心與用戶建立信任關係的基礎,用戶的數字證書必須有一個受信任的根證書,用戶的數字證書才是有效的。從技術上講,證書其實包含三部分,用戶的信息,用戶的公鑰,還有CA中心對該證書裡面的信息的簽名,要驗證一份證書的真偽(即驗證CA中心對該證書信息的簽名是否有效),需要用CA中心的公鑰驗證,而CA中心的公鑰存在於對這份證書進行簽名的證書內,故需要下載該證書,但使用該證書驗證又需先驗證該證書本身的真偽,故又要用簽發該證書的證書來驗證,這樣一來就構成一條證書鏈的關係,這條證書鏈在哪裡終結呢?答案就是根證書,根證書是一份特殊的證書,它的簽發者是它本身,下載根證書就表明您對該根證書以下所簽發的證書都表示信任,而技術上則是建立起一個驗證證書信息的鏈條,證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先下載根證書。
CA負責數字證書的批審、發放、歸檔、撤銷等功能,CA頒發的數字證書擁有CA的數字簽名,所以除了CA自身,其他機構無法不被察覺的改動。
A和B要進行通信,必須相互獲取對方的數字證書,A和B的數字證書可以是不由CA頒發的