A root CA nem ír alá végfelhasználói tanúsítványt, így muszáj, hogy legyen intermediate ca. E nélkül törött lesz a tanúsítási lánc. Ez persze nem igaz :)