Regularmente, uma autoridade de certificação intermediária precisa de uma assinatura válida (também não expirada) de uma autoridade de certificação confiável e também da marca de restrição de uso CA: true. Normalmente, as CAs intermediárias não são listadas diretamente no banco de dados de confiança, verificando os clientes. Portanto, quando um serviço envia seu próprio certificado assinado por uma CA intermediária (por exemplo, ao estabelecer uma sessão TLS), ele também deve enviar todos os certificados de CA intermediários entre si e a CA raiz, para que o cliente de verificação possa realmente criar uma confiança cadeia entre as duas extremidades da cadeia.
Uma assinatura própria, como você está falando no título da sua pergunta, tornaria isso um certificado autônomo ou se tivesse o sinalizador CA: true, tornaria o certificado uma autoridade de certificação raiz.