Parece que o certificado raiz R1 da GlobalSign não está na CA de confiança padrão no CentOS 7.3.
Eu verifico a lista de Trusted CAs assim:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt
Aqui está a lista de certificados raiz da GlobalSign: link
Existe uma razão pela qual o R1 não está nessa lista?
A raiz R1 não foi realmente chamada "R1" no momento em que foi gerada. O nome real do assunto é:
CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE
É comum que raízes antigas não tenham a numeração, porque naquela época ninguém pensava que precisaria de mais de uma raiz de 20 anos no futuro.