ДЗУЦ (ДЗУЦ-сертификат) рассматривается как входные данные X.509-алгоритма. Не существует требований, чтобы один и тот же ДЗУЦ-сертификат использовался в ПрПП всех МС. Различные ДЗУЦ-сертификаты могут использоваться в ПрПП различных маршрутов.
Основная цель ПрПП заключается в проверке привязки (связки) уникального или альтернативного имени владельца сертификата к его же открытому ключу, представленном в целевом сертификате, на основе открытого ключа ДЗУЦ. В большинстве случаев, целевой сертификат будет представлять собой сертификат конечного пользователя, но целевой сертификат может быть и сертификатом УЦ, пока открытый ключ владельца сертификата предназначен для решения любых других задач, отличных от проверки подписи в СЕРТ|ОК. Проверка связки между именем и открытым ключом владельца сертификата требует получения последовательности сертификатов, которые обеспечивают такую связку. Процедура получения такой последовательности сертификатов в данном стандарте не рассматривается.
Для достижения этой цели, ПрПП маршрутов проверяет, среди прочего, что предполагаемый МС (последовательность из n сертификатов) удовлетворяет следующим условиям:
Для всех x в {1, ..., n-1}, владелец сертификата x является издателем сертификата x+1;
Сертификат 1 издан ДЗУЦ;
Сертификат n является сертификатом, подлинность которого должна быть подтверждена (т.е. целевой сертификат);
Для всех x в {1, ..., n}, сертификат был действителен на момент времени, о котором идёт речь.
Сертификат должен присутствовать в предполагаемом МС не более одного раза, в обязательном порядке.
Когда ДЗУЦ-сертификат представлен в форме само-подписанного сертификата, тогда этот само-подписанный сертификат не включается в предполагаемый МС как его «звено». Информация о ДЗУЦ предоставляется в качестве входных данных алгоритма ПрПП МС.