Un serveur doit présenter toute la chaîne de certification, sinon le client doit signaler l'erreur.
Pour le vérifier, utiliser la commande openssl s_client -connect <serveur>:<port> > /dev/null
Si la réponse est :

verify error:num=20:unable to get local issuer certificate
verify return:1
verify error:num=27:certificate not trusted
verify return:1
verify error:num=21:unable to verify the first certificate
verify return:1

C'est que le serveur n'est pas configuré correctement.

La réponse devrait être :

verify return:0

Voir alors comment ajouter la chaîne de certification au certificat du serveur. Cela peut être une option (SSLCertificateChainFile pour Apache, cat server.pem chaine.pem > fichier.pem pour Zimbra ou Dovecot)