Вы должны включить сертификат B в доверенное хранилище. Как упоминалось в комментариях, ваш пробег может отличаться, поскольку клиенты и серверы по-разному реализуют RFC.
С точки зрения правил, спецификация для сертификатов x.509 указана в IETF RFC 5280 ,Ключевая информация заключается в том, что для того, чтобы произошло рукопожатие SSL, клиент должен выполнить полную проверку цепочки сертификатов, которая заканчивается самоподписанным сертификатом, который находится в вашем хранилище доверия.
Ваш сертификат не является самоподписанным, онвыдается другим центром сертификации (сертификат B). Если в вашем хранилище доверенных сертификатов нет B, значит цепочка доверия разорвана. Однако, как уже упоминалось выше, вполне возможно, что клиент не проверит полную цепочку сертификатов.
Подумайте об этом так. Вашему клиенту предоставляется сертификат A, который подписан буквой «B». Клиент должен проверить, что подпись на A в порядке, а это значит, что ему нужно (сертификат) "B". Если B является «корневым» CA или самоподписанным, его поля «эмитент» и «субъект» будут совпадать. И если этот Сертификат B находится в вашем TrustStore, вы золотые.
Задача сервера - отправить вам список сертификатов для TLS .
Это последовательность (цепочка) сертификатов. Сертификат отправителя ДОЛЖЕН быть первым в списке. Каждый следующий сертификат ДОЛЖЕН непосредственно подтверждать предыдущий.
Здесь визуальное представление проверки цепочки сертификатов здесь . Надеюсь, это поможет.