在SSL/TLS握手中的“Server-Hello”消息期间选择证书链的逻辑？

在客户机-服务器ssl握手中，我的服务器以server-hello消息的形式将证书链发送回客户机。但我想了解如何选择特定的证书链。

我的钥匙店有5条链子

chain1>
privatekey (expired at let's say date1) --
intermediate or server cert (valid) --
root (valid)

chain2>
privatekey cert (valid for 6 more months)--
intermediate or server cert (valid)--
root (valid)

chain3>
privatekey cert (expired at lets say date2) --
intermediate or server cert (valid)--
root (valid)

chain4>
privatekey cert (valid for 1 year) --
intermediate or server cert (valid)--
root (valid)

chain5>
privatekey cert (expired at lets say date3) --
intermediate or server cert (valid)--
root (valid)

现在，每当客户机试图连接到我的服务器（对于webservice）时，就会出现以下异常，客户机无法连接

Sun.security.validator.validatoreXception：PKIX路径验证失败：java.security.cert.certPathValidatoreXception：时间戳检查失败。…………………………。更多的线..由java.security.cert.certPathValidatoreXception：时间戳检查失败..........更多的线..由java.security.cert.certPathValidatoreXception:NotAfter:date1引起

尝试重新连接，但这次在date2中再次出现相同的错误。现在，即使在我的密钥库中有过期的证书时，这种情况也不会发生。

有人能解释如何在服务器hello消息中选择证书链吗？我试着研究了很多，但找不到具体的东西