पहले, कुंजी और प्रमाण पत्र के बीच के अंतर के बारे में ("सीए कुंजी" के बारे में), सार्वजनिक कुंजी प्रमाणपत्र (आमतौर पर X.509) के बारे में बात करते समय उपयोग किए जाने वाले 3 टुकड़े होते हैं: सार्वजनिक कुंजी, निजी कुंजी और प्रमाण पत्र। सार्वजनिक कुंजी और निजी कुंजी एक जोड़ी बनाते हैं। आप निजी कुंजी के साथ हस्ताक्षर और डिक्रिप्ट कर सकते हैं, आप सार्वजनिक कुंजी के साथ सत्यापन (हस्ताक्षर) और एन्क्रिप्ट कर सकते हैं। सार्वजनिक कुंजी को वितरित करने का इरादा है, जबकि निजी कुंजी को निजी रखा जाना है।
एक सार्वजनिक-कुंजी प्रमाणपत्र एक सार्वजनिक कुंजी और सूचना के विभिन्न टुकड़ों के बीच संयोजन है (ज्यादातर मुख्य जोड़ी के मालिक की पहचान के बारे में, जो भी निजी कुंजी को नियंत्रित करता है), इस संयोजन को जारीकर्ता की निजी कुंजी का उपयोग करके हस्ताक्षरित किया जा रहा है प्रमाण पत्र। X.509 प्रमाणपत्र में एक विषय विशिष्ट नाम और एक जारीकर्ता प्रतिष्ठित नाम होता है। जारीकर्ता नाम प्रमाण पत्र जारी करने वाली संस्था के प्रमाण पत्र का विषय नाम है। स्व-हस्ताक्षरित प्रमाण पत्र एक विशेष मामला है जहां जारीकर्ता और विषय समान हैं। एक प्रमाण पत्र की सामग्री (अर्थात प्रमाण पत्र जारी करना) पर हस्ताक्षर करके, जारीकर्ता अपनी सामग्री का दावा करता है, विशेष रूप से, कुंजी, पहचान (विषय) और विभिन्न विशेषताओं (जो इरादे या उपयोग के लिए गुंजाइश का संकेत हो सकता है) के बीच बाध्यकारी है। प्रमाण पत्र)।
इसके शीर्ष पर, PKIX विनिर्देश एक एक्सटेंशन (किसी दिए गए प्रमाणपत्र का हिस्सा) को परिभाषित करता है जो इंगित करता है कि क्या प्रमाण पत्र को CA प्रमाण पत्र के रूप में इस्तेमाल किया जा सकता है, अर्थात, क्या इसे दूसरे प्रमाण पत्र के लिए जारीकर्ता के रूप में उपयोग किया जा सकता है।
इसमें से, आप अंतिम-इकाई प्रमाणपत्र (जो आप सत्यापित करना चाहते हैं, एक उपयोगकर्ता या सर्वर के लिए) और आपके द्वारा विश्वास किए जाने वाले CA प्रमाणपत्र के बीच प्रमाणपत्रों की एक श्रृंखला बनाते हैं। आपकी सेवा के अंतिम-इकाई प्रमाणपत्र और आपके द्वारा भरोसा किए गए CA प्रमाणपत्र के बीच मध्यवर्ती CA प्रमाणपत्र (अन्य CA प्रमाण पत्र द्वारा जारी) हो सकते हैं। आपको शीर्ष पर एक मूल CA की आवश्यकता नहीं है (एक स्व-हस्ताक्षरित CA प्रमाणपत्र), लेकिन अक्सर ऐसा होता है (यदि आप चाहें तो सीधे एक मध्यवर्ती CA प्रमाणपत्र पर भरोसा करना चुन सकते हैं)।
अपने उपयोग के मामले के लिए, यदि आप किसी विशिष्ट सेवा के लिए स्व-हस्ताक्षरित प्रमाण पत्र उत्पन्न करते हैं, चाहे उसमें सीए ध्वज हो (मूल बाधा विस्तार) वास्तव में मायने नहीं रखता है। आपको अन्य प्रमाणपत्र जारी करने में सक्षम होने के लिए सीए प्रमाणपत्र होने की आवश्यकता होगी (यदि आप अपना पीकेआई बनाना चाहते हैं)। यदि आप इस सेवा के लिए जो प्रमाण पत्र बनाते हैं वह एक CA प्रमाणपत्र है, तो इसे कोई नुकसान नहीं होना चाहिए। इससे अधिक महत्वपूर्ण बात यह है कि जिस तरह से आप अपने क्लाइंट को इस विशेष सर्वर के लिए प्रमाण पत्र पर भरोसा करने के लिए कॉन्फ़िगर कर सकते हैं (ब्राउज़रों को आपको उदाहरण के लिए एक स्पष्ट अपवाद को आसानी से बनाने देना चाहिए)। यदि कॉन्फ़िगरेशन तंत्र एक PKI मॉडल (विशिष्ट अपवादों का उपयोग किए बिना) का अनुसरण करता है, क्योंकि एक श्रृंखला (सिर्फ एक प्रमाण पत्र के साथ) बनाने की आवश्यकता नहीं होगी, तो आपको सीधे विश्वास लंगर के भाग के रूप में प्रमाण पत्र आयात करने में सक्षम होना चाहिए आपका ग्राहक, चाहे वह '