Грубо говоря, есть сертификат А, которому доверяют браузеры. Им продписывается сертификат Б, о котором браузеры не знают. А им уже подписывается ваш. Если вы в настройках сервера выдаете как CA сертификаты - только Б - доверия не будет. Нужно передавать оба - и Б и А.
Например, для nginx нужно в файл с ca сертификатами просто положить оба, причем в порядке - сначала Б, потом А.
Для апача вроде отдельная директива.