Um certificado pode conter uma extensão especial Acesso a Informações da Autoridade ( RFC-3280 ) com URL para o certificado do emissor. A maioria dos navegadores pode usar a extensão AIA para baixar o certificado intermediário ausente para completar a cadeia de certificados. Mas alguns clientes (navegadores móveis, OpenSSL) não suportam esta extensão, então eles relatam tal certificado como não confiável.
Você pode resolver a questão cadeia de certificados incompleta manualmente concatenando todos os certificados do certificado ao certificado raiz confiável (exclusivo, nesta ordem), para evitar tais problemas. Tenha em atenção que o certificado raiz fidedigno não deve estar presente, uma vez que já está incluído no arquivo de certificados raiz do sistema.
Você deve conseguir obter certificados intermediários do emissor e reuni-los sozinho. Eu escrevi um script para automatizar o procedimento, ele faz um loop na extensão AIA para produzir a saída de certificados corretamente encadeados. link