Zertifikate können sich auch gegenseitig zertifizieren, und diesen Zertifizierungspfad kann man zurückverfolgen.

Kaufst Du ein Zertifikat von VeriSign, gibts da irgendwo ein VeriSign-Root-Zertifikat, das wahrscheinlich ein VeriSign-Authenticode-Zertifikat unterschrieben hat, das wieder dein gekauftes Zertifikat unterschrieben hat.

Windows prüft dann die ganze Kette entlang, ob alle Zertifikate gültig sind und auf ein Root-Zertifikat zurückzuführen sind, dessen öffentlicher Teil bei Windows bereits mitgeliefert wird.