自己署名証明書や自己発行証明書の一種である。自己署名証明書とは、自分の秘密鍵でそれに対応する公開鍵に署名した証明書のことである。自分の秘密鍵で署名していても、認証局が識別名を変更したときに発行することがある(ネーム・ロールオーバー証明書)のような識別名が異なる証明書は、ルート証明書ではない。自己発行証明書とは、発行者と主体者が同じ実体である公開鍵証明書のことである。自分自身に発行しても、他の秘密鍵で署名された自己発行証明書（認証局が鍵を更新したときに発行する(キー・ロールオーバー証明書)や、CRLの署名用に別の鍵対を使うときなどに発行する証明書）は、ルート証明書ではない。

認証局は証明書を木構造を成す形で発行するが、その中でルート証明書は、発行された証明書の中で木の根元に位置する。すべての証明書は、自らの親となるルート証明書の持つ信頼性を継承する。

多くのソフトウェアでは、証明書利用者を代表してルート証明書を信頼するという前提を置いている。 その一例として、ウェブブラウザではSSLやTLSによる通信においてルート証明書をアイデンティティの検証に用いている。 ここではユーザがウェブブラウザの配布者とそれが信頼する認証局、その認証局が発行した証明書を持つ証明書利用者を信頼するという前提の元に証明書利用者のアイデンティティの検証を行っている。

ITU-Tによって定義されたX.509は商用分野において最も普及している証明書の規格であるが、このルート証明書を元にした信頼の推移はX.509証明書の連鎖モデルに不可欠なものである。

1. ^ 本項でいう秘密鍵とは、署名される公開鍵(en:Public_key)に対応する秘密鍵(en:Private_key、または私有鍵)のことであり、共通鍵暗号の秘密鍵(Secret key)ではない。

著名な認証局のルート証明書

• Verisignおよびその子会社であるThawte
• Entrust
• 政府認証基盤(GPKI)
• 地方公共団体における組織認証基盤(LGPKI)
• CACert
• cURLのExtract CA Certs from mozilla.orgページ