Abbiamo creato un rootca e creato una subca per firmare i certificati. Cosa dovrebbe essere distribuito in / usr / local / share / ca-certificates / per aggiornare gli archivi di fiducia della CA? La catena di certificati o solo il certificato RootCA? La maggior parte dei file di configurazione ha una direttiva separata che punta alla catena di certificati, quindi sembra che la best practice sia che solo il cert rootca deve essere considerato affidabile?
La forma generica di questa domanda è se il RootCA deve essere considerato attendibile o il cert intermedio.
grazie