Come installare il certificato CA subordinato nel keychain da Terminal? Fan di Apple

Sono un ingegnere di Windows, che crea un PKI di Active Directory, ma sa molto poco dei Mac. Sono a conoscenza di come installare i certificati di root nel portchiavi di sistema utilizzando:

sudo security add-trusted-cert -d -r trustRoot -k \Library\Keychains\System.keychain rootca.crt

Possibilmente aperto Player.itg dannoso
Problemi di sicurezza di Mac
Posso impostare una sorta di "non submit mai report di errore" su un'applicazione che deve essere costretto a smettere di frequente?
Può l'iPad essere attaccato se la sicurezza della password è discutibile?
Posso rimuovere il servizio Web Dymo Label e utilizzare l'applicazione Dymo?

Tuttavia, non sono troppo chiaro su come installare un certificato CA subordinato (rilasciato dalla CA principale).

Faccio semplicemente usare lo stesso command, o preferirei utilizzare i add-certificates ?

Qual è la differenza tra i tipi di risultato: trustRoot , trustAsRoot , unspecified ?

Portachiavi: richiedere il certificato dalla row di command
Il mio sistema è vulnerabile al nuovo bug di text di Apple in chiaro?
Come impedire che le password salvate Safari vengano visualizzate con la password Mac?
Collegamenti in arrivo a netbiosd e servizio sconosciuto di partenza
Si auto-sbloccare in macOS Sierra anche auto-lock?

Poiché il certificato CA subordinato è già "attendibile" a causa del fatto che il root di CA di root è nelle radici di sistema, è sufficiente utilizzare il command aggiuntivo, specificando il keychain di sistema.

 sudo security add-certificates -k /Library/Keychains/System.keychain your_cert_file