创建多个根时

• 证书已更新 或

• 证书被重新加密

这适用于 CA 层次结构中的每个证书。

只是为了让事情更有趣，吊销列表本身 (CRL/OCSP) 是经过签名的，并且可能有它自己的 PKI。他们也可能有自己的一套钥匙。（验证验证者？）

换句话说，

• 在验证 CRL、Delta 和 OCSP 响应时发现的链也计入发现的 CA 根。（请注意，可以通过 OCSP 验证来抑制id-pkix-ocsp-nocheck）

CA 架构对链构建过程有影响。在不同的证书链被认为有效之前，链接引擎会构建所有可能使用正在验证的证书的链。如果最终实体证书是由新设置的 CA 生成的，则证书链很简单。但是，由更新的 CA 颁发的证书或在颁发 CA 和另一个 CA 之间存在交叉证书的情况下，可能存在多个证书链。

证书链的整个图是构建的，然后按链的“质量”排序。给定最终证书的最佳质量链作为默认链返回给调用应用程序。

以下是单层、N 层、交叉和桥接 PKI 中的验证过程图示

单一 CA

N 层

交叉信任 CA

桥CA

有关PKI 拓扑和证书续订的更多信息，请参阅本文底部