Come installare il certificato CA subordinato nel keychain da Terminal?

Sono un ingegnere di Windows, che crea un PKI di Active Directory, ma sa molto poco dei Mac. Sono a conoscenza di come installare i certificati di root nel portchiavi di sistema utilizzando:

sudo security add-trusted-cert -d -r trustRoot -k \Library\Keychains\System.keychain rootca.crt

Tuttavia, non sono troppo chiaro su come installare un certificato CA subordinato (rilasciato dalla CA principale).

Faccio semplicemente usare lo stesso command, o preferirei utilizzare i add-certificates ?

Qual è la differenza tra i tipi di risultato: trustRoot , trustAsRoot , unspecified ?

Poiché il certificato CA subordinato è già "attendibile" a causa del fatto che il root di CA di root è nelle radici di sistema, è sufficiente utilizzare il command aggiuntivo, specificando il keychain di sistema.

 sudo security add-certificates -k /Library/Keychains/System.keychain your_cert_file