Вам нужен сертификат корневого CA в доверенном корневом хранилище, которое использует конкретный браузер. Вот страница из простого поиска Google, которая может помочь: https://help.riseup.net/security/certificates/import/
Браузер не должен найти сертификат сервера здесь. В этом хранилище необходимо установить сертификат корневого ЦС, который подписал сертификат сервера (или цепочку сертификатов).
Например, если сервер имеет сертификат S, а S подписан «MY-ROOT-CA», тогда MY-ROOT-CA необходимо установить в доверенное корневое хранилище.
Если сертификат сервера S подписан промежуточным CA «SOME-CA», а SOME-CA подписан MY-ROOT-CA, то снова на компьютере браузера необходимо установить только MY-ROOT-CA доверенное корневое хранилище.
Если S подписан SOME-CA, возможно, SOME-CA также необходимо установить где-нибудь на компьютере браузера, но не обязательно в доверенном корневом хранилище. В этом случае сервер может отправлять как S, так и SOME-CA, и даже может отправлять MY-ROOT-CA. Как бы долго ни проходила эта цепочка сертификатов, каждая ссылка в цепочке должна отправляться сервером или присутствовать на локальном компьютере, но всегда должен быть установлен самый последний MY-ROOT-CA, и это в специальном доверенном корневом хранилище .