SSL証明書のchain検証

以下のようなチェインを検証したい時

AddTrust
    |_ ca1
        |_ ca2
            |_ hoge

こんな感じにコマンドを打つ

openssl verify -trusted /etc/ssl/certs/AddTrust_External_Root.pem \
    -untrusted ca/ca1.pem \
    -untrusted ca/ca2.pem \
    hoge.pem*

verify -CAfileを指定して検証する例を見るけど、
インストールされてるデフォルトのrootCAも見ちゃうから
-no-CAfile, -no-CApathで無効化しなきゃだったりするのでこっちの方が良さそう