Есть корневой центр сертификации RootCA.
Он подписал сертификаты двух промежуточных ЦС: SubCA1 и SubCA2.
Те в свою очередь выпустили по одному серверному сертификату и по одному клиентскому.
Серверные сертификаты установлены на два независимых фронтенда с включенными опцииями ssl_verify_client on и ssl_verify_depth 2.
В браузер импортирован один клиентский сертификат, будеи считать, что он выпущен SubCA1.

Вопросы:
1. Почему с этим сертификатом доступен не тольео ресурс с серверным сертификатом, выпущенным SubCA1, но и SubCA2?
2. Как настроить nginx так, чтобы валидным считался только клиентский сертификат, выпущенный последним ЦС в цепочке сертификатов?

Я пробовал менять ssl_verify_depth 2 на ssl_verify_depth 1, но это не помогает, проверка сертификата полностью прекращается.

Заранее спасибо!