Мне интересно, может ли SQL Server отправлять цепочку сертификатов клиенту, я пробовал все варианты при создании сертификатов, и я знаю, какие ограничения SQL Server накладывает на сертификат, чтобы иметь право применяться на сервере.
Чтобы быть более конкретным, у меня есть «корневой» сертификат в хранилище доверенных сертификатов клиента, и есть промежуточный ЦС, а также сертификат сервера на сервере, но Sql Server отправляет сертификат сервера только клиенту (приложение Java). Я использую Windows 10, Sql Server 2016, Java 1.8 в качестве клиента.
Похоже, что это не так, и обычно требуется, чтобы промежуточные сертификаты были установлены на клиенте.
Эта страница AWS, например, обсуждается установка необходимых CA и промежуточных сертификатов на клиенте для подключения к их размещенным экземплярам MS-SQL.
Тот же вопрос был спросил на dba.stackexchange пару лет назад, и в основном через ветку комментариев, похоже, пришел к тому же выводу.
В то время как та же самая настройка была бы неприятна для веб-браузеров, которых много ко многим, она более управляема (но все же уродлива) с клиентами SQL, которых меньше или меньше.