隨著公開金鑰基礎結構中發行的憑證數目 (PKI) 增加,單一憑證授權單位單位 (CA) 可能會變得困難,以有效地追蹤所發行的憑證。 解決此問題的其中一種方式是建立憑證階層,CA 會將授權單位委派給附屬授權單位,進而將授權單位委派給其次級授權單位。 每個 CA 會藉由將 CA 憑證發行給次級來委派授權。 鏈結中的初始 CA 稱為根目錄,而且實體不需要與位於實體所在之不同 憑證鏈 結上的任何 CA 建立信任。
下圖顯示由一個根 CA 組成的憑證階層,兩個 CA 屬於 (行銷部門,另一個用於行銷部門,另一個用於製造部門) ,另一個屬於這些根 CA 的 CA。
