Certificate Services では、証明機関 (CA) 階層がサポートされます。 CA 階層 は、ルート CA によって証明書が発行された 1 つ以上の下位 CA を持つ最上位 CA (ルート CA と呼ばれます) で構成されます。 CA 階層のシナリオとして考えられるのは、複数の下位 CA に証明書を発行するために使用された 1 つのルート CA を持つ組織です。 下位 CA は、ユーザーに発行された証明書などのエンド エンティティ証明書を発行できます。 ユーザーの証明書には、CA 階層の信頼パスが含まれます。この場合は、発行元の下位 CA とルート CA の両方の証明書が含まれます。