Корневой сертификат - это особый вид цифрового сертификата X.509, который можно использовать для выпуска других сертификатов. Корневые сертфиикаты выпускаются под очень строгими правилами. В дополнение к правилам и ограничениям, изложенным в Базовых требованиях CA / B Forum, некоторые корневые программы, например Mozilla, добавляют в дополнение еще более строгие требования. Корневой сертификат неоценим, потому что любой сертификат, подписанный его закрытым ключом, будет автоматически доверяться браузерами. Поэтому вам действительно нужно убедиться, что вы можете доверять центру сертификации, выдавшему его. Любой сертификат, выданный из корня, будет автоматически доверен компьютерной системе. Ценность этих корней и риски, связанные с их компрометацией, означают, что они редко используются для выпуска сертификатов.
Центры сертификации не выдают серверные / конечные сертификаты (сертификаты SSL конечного пользователя) напрямую из своих корней. Эти корни слишком ценны и слишком важны для безопасности.