Todos os certificados são difíceis, pois, tecnicamente, cada parte do software do servidor pode ter seus próprios certificados em locais não padrão. Se você conhece a porta em que está interessado, execute algo nos termos de
openssl s_client -connect your.host.example:443 -showcerts
e observe a cadeia de certificados. Seu certificado autoassinado usual provavelmente teria um comprimento de cadeia de 1, por ser autoassinado.