Корневой сертификат, часто называемый доверенным корнем, находится в центре модели доверия, которая поддерживает инфраструктуру открытых ключей, и, соответственно, SSL / TLS. Каждое устройство включает в себя то, что называется корневым хранилищем. Корневое хранилище - это набор предварительно загруженных корневых сертификатов (и их открытых ключей), которые находятся на самом устройстве. Обычно устройство использует любое корневое хранилище, встроенное в его ОС, в противном случае оно может использовать стороннее корневое хранилище через приложение, такое как веб-браузер.
Чтобы обезопасить себя, центры сертификации обычно выпускают так называемый промежуточный корень. CA подписывает промежуточный корень своим закрытым ключом, что делает его доверенным. Затем ЦС использует закрытый ключ промежуточного сертификата для подписи и выдачи сертификатов SSL конечного пользователя. Этот процесс может повторяться несколько раз, когда промежуточный корень подписывает другого промежуточного звена, а затем CA использует его для подписи сертификата. Эти ссылки, от корневого до промежуточного к конечному, - это цепочка сертификатов.