Quanto à sua concatenação, o RFC 5246 declara:
The sender’s certificate must come first in the list. Each following certificate must directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority may optionally be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
Então, o que você precisa fazer é solicitar o bundle de certificados da maneira correta: O certificado do servidor na parte superior, até o certificado que está mais próximo do certificado raiz. A maioria das implementações SSL parece corrigir uma ordem incorreta, seja no lado do cliente ou do servidor, mas eu já corri para um caso borderline, e talvez você também.
Eu não sei se links como este são aceitáveis aqui, mas eu delineei o procedimento (mesmo para uma cadeia semelhante à que você tem) em uma entrada de blog mais antiga: Lidando com longas cadeias de certificados SSL