定义

作用

建立信任基础：在网络通信中，当客户端（如浏览器）收到服务器发送的数字证书时，它需要验证这个证书的合法性和真实性。根证书就是客户端用于验证其他证书是否可信的依据。如果服务器的证书是由客户端信任的根证书所签发的，并且证书链完整、有效，那么客户端就会认为该服务器的证书是可信的，从而建立起对服务器的信任，允许安全的通信连接。

数字签名与验证：根证书包含了认证机构的公钥和相关的身份信息，并且由认证机构使用自己的私钥对其进行数字签名。当需要验证某个数字证书的真伪时，就可以使用根证书中的公钥来验证该数字证书上的签名是否有效。如果签名有效，说明该数字证书是由合法的认证机构签发的，在一定程度上保证了证书所绑定的公钥和身份信息的真实性。

特点

自签名：根证书是由认证机构自己给自己签发的证书。这是因为在整个数字证书体系中，根证书处于最顶层，没有更高层级的机构来为它签发证书。通过使用自己的私钥对自身信息进行签名，根证书确立了自身的合法性和权威性。

顶级信任：根证书被预先安装在操作系统、浏览器等软件中，这些软件默认信任这些根证书。只要基于这些根证书建立的证书链是完整和有效的，那么与之相关的数字证书都会被认为是可信的。

长期有效：一般来说，根证书的有效期较长，通常为 10 年甚至更长时间。这是为了保证数字证书体系的稳定性和连续性，避免因为根证书频繁过期而导致整个信任体系的频繁更新和不稳定。

应用场景

互联网安全通信：在 HTTPS 协议中，服务器会向客户端发送自己的数字证书，客户端通过根证书来验证服务器证书的合法性，从而确保与服务器之间的通信是安全加密的，防止数据被窃取或篡改。

电子邮件安全：使用数字证书对电子邮件进行签名和加密时，根证书用于验证邮件发送者的身份是否可信，以及确保邮件内容在传输过程中的保密性和完整性。

软件代码签名：软件开发者可以使用数字证书对软件进行签名，用户在安装软件时，系统会通过根证书来验证软件签名的合法性，以判断软件是否来自可信的开发者，是否在传输过程中被篡改。