Здравствуйте, ·, Вы писали:

·>Именно, что bundle. А оно действительно надо, чтобы это была цепочка? Поместить просто оба серта как корневые, да и всё. Попробуй в песочнице.
Bundle потому что цепочка сертификатов. Я там привел пример что один и тот же узловой сертификат проходит валидацию как через цепочку, так и через самоподписанный int CA сертификат.
Эта схема дает возможность заменить корневой сертификат без остановки всей инфраструктуры просто постепенным обновлением.
Впрочем, я кажется понял что ты имеешь в виду. Поместить на клиенте в bundle оба CA сертификата, чтобы при проверке выбирался нужный. В целом, вероятно, рабочая схема. Под вопросом, правда, сохранит ли она работоспособность при использовании certificate pinning или client auth via certificate.