Comment déterminer la séquence des certificats de commande par navigateur?

J'ai effectué une implémentation d'authentification de certificat mutuelle avec OpenSSL et Apache Web Server sur la plate-forme CentOS. Pour une explication simple, voir ce diagramme:

---

                ----------
              |  Root CA  |    // Self-Signed Certificate
                ----------
                    |      
                ----------
              |  SiteA CA  |  // Intermediate Certificate signed by Root CA
                ----------
               |          |
           --------    --------
         | Server1 | | Client1 |  //Certificates signed by SiteA CA
           --------    --------              

---

dans Apache Configuration, j'ai édité ensuite:
fabrique une chaîne en chaîne:

Sudo cat server.crt rootca.crt serverCA.crt > server_chain.crt 

modifier la configuration ssl:

Sudo vi /etc/httpd/conf.d/ssl.conf

éditez ces quatre lignes:

SSLCertificateFile /etc/pki/tls/server.crt 
SSLCertificateKeyFile /etc/pki/tls/server.key 
SSLCertificateChainFile /etc/pki/tls/server_chain.crt 
SSLCACertificateFile /etc/pki/tls/rootca.crt

et pour en faire une authentification mutuelle (bidirectionnelle):

SSLVerifyClient require
SSLVerifyDepth  10

Puis: redémarrez le service Apache = httpd:

Sudo service httpd restart

vous savez que vous devez donner à votre navigateur racine le certificat ca et le certificat client et, alors que je faisais un test,

J'ai retiré rootca.crt du navigateur et constaté que Firefox et Chrome me demandaient une confirmation du certificat client avant de me dire que le serveur n'était pas un serveur de confiance, alors que le navigateur Opera fonctionnait correctement. D'abord, dites-moi que ce n'est pas fiable, puis montrez-moi les informations du certificat client.

On m'a dit que, dans IIS, il existe une option permettant d'indiquer au serveur Web la question à poser en premier, mais je n'ai pas trouvé cette option ici, dans Apache.
Quelqu'un peut-il aider?