OpenVPN без Root-CA

Простая установка OpenVPN с аутентификацией SSL.

Настройка SSL: Root-CA > Intermediate-CA > Issuing-CA

Все сертификаты (vpn-server и -clients) выдаются "Issuing-CA".

Я пытался использовать сертификат выдающего ЦС в качестве OpenVPN ca ca.pem параметр в конфигурации openvpn (сервер и клиент).

Это не сработало.

Мне пришлось добавить полную цепочку сертификатов в ca.pem, Тогда это сработало.

Я думал ca Параметр указывает доверенные центры сертификации. Я не хочу включать всю цепочку сертификатов, так как не вижу необходимости в этом! Наоборот - это кажется мне опасным - поскольку Root-CA и Intermediate CA могут выдавать сертификаты для CN, которые используются в VPN! Я бы классифицировал это как угрозу безопасности.

Есть ли способ установить привязку доверия к некорневому центру сертификации?