¿Cómo instalar el certificado CA subordinado en el llavero desde la Terminal?

Soy ingeniero de Windows, configuro una PKI de Active Directory, pero sé muy poco sobre Mac. Soy consciente de cómo instalar certificados raíz en el llavero del sistema usando:

sudo security add-trusted-cert -d -r trustRoot -k \Library\Keychains\System.keychain rootca.crt

Sin embargo, no tengo muy claro cómo instalar un certificado de CA subordinada (emitido por la CA raíz).

¿Simplemente uso exactamente el mismo comando, o lo usaría add-certificatesen su lugar?

¿Cuál es la diferencia entre los resultypes: trustRoot, trustAsRoot, unspecified?

Dado que el certificado de la CA subordinada ya es de "confianza" debido a que el certificado de la CA raíz se encuentra en las Raíces del sistema, solo necesita usar el comando agregar certificados, especificando el llavero del sistema.

sudo security add-certificates -k /Library/Keychains/System.keychain your_cert_file