Il faut pour cela lire le certificat fournit par l'autorité de certification voir : Apache2 - lire un certificat ssl
Il y a une ligne qui commence par : CA Issuers - URI: suivi d'une URL, c'est cette URL qui fournit le CA
par exemple :
Authority Information Access:
CA Issuers - URI:http://crt.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crt
Le certificat (CA) peut être de la forme DER
pour le lire directement il est possible d'utiliser la commande wget -O - URL | openssl x509 -inform DER
exemple :
wget -O - http://crt.sectigo.com/SectigoRSAOrganizationValidationSecureServerCA.crt | openssl x509 -inform DER