信任階層

若要讓 數位憑證 生效，憑證的使用者必須擁有高度的信任。 在某些情況下，使用者不會信任憑證的簽發者。 如果憑證使用者從未聽過 憑證授權單位單位 ，因此接受該簽發者的憑證時，可能會發生此情況。 此問題會在信任階層的認證程式中解決。

信任階層會從憑證鏈結中所有實體信任的至少一個憑證授權單位單位開始。 這可以是內部憑證授權單位單位系統管理員或外部公司或組織，專門用來驗證身分識別和發行憑證。 此授權單位稱為 根授權單位。 根授權單位接著會認證其他憑證授權單位單位，稱為第一層憑證授權單位單位，然後可以發行憑證，並認證其他或第二層憑證授權單位單位。 下圖顯示這種情況。

簽發憑證的憑證授權單位單位身分識別是憑證的一部分。 該憑證授權單位單位稱為憑證的簽發者。 當憑證的簽發者是第 1 層或第 2 層憑證授權單位單位時，該憑證的接收者可以判斷該憑證的簽發者是否由高於其層級的憑證授權單位單位認證為有效的憑證授權單位單位，而且較高層級的憑證授權單位單位仍由較高層級憑證授權單位單位認證，直到判斷最低層級之間的信任鏈結是否存在為止憑證授權單位單位和根憑證授權單位。

例如，在上圖中，它可以驗證 CA #4 已認證為 CA 的憑證授權單位單位 #1，且 CA #1 已認證為根 CA 的憑證授權單位單位。 因此，當來自較低層級憑證授權單位單位的憑證連同加密訊息一起傳遞時，其信任鏈結中所有憑證的相關資訊都會隨著它一起傳遞。

剛才呈現的圖例和描述是概念性的。 在真實世界中，憑證授權單位單位狀況不斷演進，而且尚未建立或接受任何單一根授權單位。 在短期內，授權島將會開發，如下圖所示。

此時，圖例中的根島、根目錄 1 和根 2 可能會變成單一根 CA 的第 1 層 CA。 此時，情況會再次具有單一根授權單位。 它仍會持續瞭解實際圖片的演進方式。