除了 Root CA 主機上的 root
(UID 0)以外,任何使用者名稱均可變成 Root CA 使用者。Root CA 使用者是有權替網站建立授權等級的唯一使用者。Root CA 使用者本身亦有自己的授權等級(以密碼保護著),以便在所有他建立的認證上加以簽名。
Root CA 授權等級鏈結於區別名稱(DN)。所有授權等級都會鏈結於某個 DN。Root CA 的區別名稱用到以下屬性:
屬性類型 | 縮寫 | 範例 |
---|---|---|
一般名稱 | cn | cn=rootca |
電子郵件地址 | em | em=rootca@A.net |
序號 | serial | serial=no12345 |
公司單位名稱 | ou | ou=web |
組織名稱 | o | o=A.net |
地點名稱 | l | l=internet |
州名或省名 | st | st=California |
國家名稱 | c | c=US |
以上屬性在 DN 內是有一定順序的。DN 一開頭必須是較特定的屬性,以後漸漸列出較一般化的屬性,最後則是最通用的屬性。以上表格中各屬性的順序也是從較特定的屬性(一般名稱)逐一列到最通用的屬性(國家)。
所有授權等級都儲存在 Root CA 使用者擁有的一個目錄內,此目錄不可設定成任何人均可讀取。Root CA 使用者的授權等級(以及每個網站的授權等級)可透過「聯合命名服務」 FNS 取得。