El sujeto completo del certificado del emisor debe coincidir con el atributo del emisor completo del certificado emitido.
Casi nunca encuentro una coincidencia exacta, especialmente con el atributo de Nombre común "CN".
Mi conjetura es que usted mira al emisor del certificado del servidor y luego trata de encontrar la CA raíz que coincida. Pero normalmente hay una CA intermedia entre el certificado del servidor y la CA raíz. Esto significa que el emisor del certificado del servidor es la CA intermedia y el emisor de la CA intermedia es la CA raíz.
En otras palabras: el certificado de servidor no es emitido directamente por la CA raíz. Por lo tanto, el emisor del certificado de servidor no es el sujeto de la CA raíz. Y no puede encontrar la CA raíz con solo mirar al emisor de certificados del servidor.
En su lugar, debe tener explícitamente en cuenta los certificados intermedios. Por ejemplo:
Certificado de servidor de security.stackexchange.com:
subject: /C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
Certificado intermedio: el asunto coincide con el emisor del certificado del servidor:
subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
CA raíz: el sujeto coincide con el emisor del certificado intermedio:
subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
Para obtener más información, consulte también SSL Certificate framework 101: ¿Cómo verifica realmente el navegador la validez de un certificado de servidor dado?