@smorlat Finalement je ne pense pas que l'utilisation de SSL_CTX_add_extra_chain_cert et donc la distinction entre certificat intermédiaire/root soit nécessaire.
D'après la documentation de SSL_CTX_add_extra_chain_cert:
If no chain is specified, the library will try to complete the chain from the available CA certificates in the trusted CA storage, see SSL_CTX_load_verify_locations
Donc en ajoutant les certificats de 'CAfile' dans le 'trusted store' comme fait dans ce commit, la construction de la chaîne de certification se fera correctement en plus de permettre des scenarios plus complexes pour l'authentification client par certificat (par exemple autoriser plusieurs CA).