nodejs ssl "impossible d'obtenir le certificat d'un émetteur local"

J'ai reçu un certificat SSL à utiliser pour signer les demandes des clients, ainsi que les certificats d'autorité de certification pertinents. Je peux le vérifier en utilisant openssl:

$ openssl s_client -CAfile /etc/ssl/foo/ca-combined.pem -servername foo.co.in -connect foo.co.in:443
CONNECTED(00000003)
... snip ...
Verify return code: 0 (ok)
---
closed

(J'ai écrasé les 2 certificats de l'autorité de certification dans un fichier). Mais quand j'essaye de le répliquer en utilisant noeud:

    var tls = require('tls');
    var fs = require('fs');

    var options = { 
        Host: 'foo.co.in',
        servername: 'foo.co.in',
        port: 443,
        key: fs.readFileSync('/etc/ssl/private/foo.key'),
        cert: fs.readFileSync('/etc/ssl/foo/cert.pem'),
        ca: [fs.readFileSync('/etc/ssl/foo/combined-ca.pem')]
    };  

    tls.connect(options, function(err) {
        done(err);
    });

Je reçois une erreur:

Uncaught Error: unable to get local issuer certificate
  at Error (native)
  at TLSSocket.<anonymous> (_tls_wrap.js:1092:38)
  at TLSSocket._finishInit (_tls_wrap.js:610:8)
  at TLSWrap.ssl.onhandshakedone (_tls_wrap.js:440:38)

J'ai trouvé une réponse ici suggérant que je devais mettre chaque certificat de CA dans un fichier séparé:

ca: [fs.readFileSync('/etc/ssl/foo/ca.pem'), fs.readFileSync('/etc/ssl/foo/root-ca.pem')]

mais cela a toujours donné la même erreur. (J'ai aussi essayé d'inverser l'ordre). J'ai ensuite essayé de mettre le certificat intermédiaire dans celui du client, et de fournir simplement le certificat de l'autorité de certification racine en tant que ca (ce qui semble être ce que suggèrent les docs ), même erreur. À ce stade, je suis à court d'idées. Le fait que openssl soit heureux suggère que je fais quelque chose de mal, des suggestions?

$ node --version
v6.10.1

(Je me rends compte que je peux définirjectUnunhorized sur false, mais je préfère ne pas le faire)