Конечно. Проверка валидности идет по цепочке - от сертификата клиента берется DN выпустившего и проверяется на самоподписанность, если нет, берется DN выпустившего и проверяется на самоподписанность, если нет... Если да, проверяется его наличие в хранилище доверенных и идет обратная проверка - все сертификаты проверяются на наличие их в хранилище доверенных.
Поэтому вся цепочка издателей должна быть в доверенных, иначе ква.
