Предлагаемое разбиение: пакет pki-tls для /etc/pki/tls/* пакет ca-certificates для /usr/share/ca-certificates/* Ну и в сам ca-trust добавить нестрогие зависимости на эти подпакеты, чтобы ничего не поломалось: Requires: pki-tls Requires: ca-certificates
В пакете ca-trust вообще нет сертификатов, он генерит их в разных форматах из исходников как раз в ca-certificates.