Сертификат с SubjectAlternativeName (SAN) дает ERR_CONNECTION_RESET в Google Chrome

Это закрытое приложение. Я пытаюсь убедиться, что нет никаких предупреждений / ошибок, связанных с HTTPS.

• Ошибка, которую я получаю после помещения сертификата в поле SAN (подписанного доверенным центром сертификации), заключается в том, что веб-приложение вообще не загружается, т.е. исключительно Google Chrome (последняя версия) выдает ERR_CONNECTION_RESET . Это единственная ошибка, которую я получаю. Firefox / Safari работает нормально.

• Напротив, самозаверяющий сертификат с полем SAN не выдает ошибки сломанного HTTPS (предупреждение, связанное с SAN); Я не буду говорить о другой ошибке, которую я получаю из-за самоподписанного сертификата.

• Я вижу аномалию , различие заключается в том, что корневой сертификат (на один уровень выше; есть 2 уровня общей глубины) в цепочке сертификатов, в случае доверенного сертификата, подписанного CA, в нем нет поля SAN.

• Я не пробовал исправлять эту часть (не уверен, можно ли это вообще исправить, поэтому не буду много говорить), то есть прикрепление поля SAN к корневому сертификату. Я хочу поговорить об этом здесь, прежде чем предпринимать дополнительные действия со своей стороны.

• Приложение (для которого требуется сертификат с SAN) не является публичным, т.е. запись DNS в поле SAN содержит адрес домена, который не является публично разрешаемый (не должно быть проблемой до тех пор, пока мой браузер не сможет ее разрешить?).

Любая информация очень полезна. Пожалуйста, предложите, если необходимы пояснения.

PS

Некоторые обновления:

• Я хотел проверить, будет ли выдавать ошибку самоподписанный CA, созданный openssl с расширениями X509 (SAN, Key Usage). Интересно, что это не привело к ошибке Chrome. Он работает нормально, как и должен (кроме самозаверяющей ошибки, которая не та относится к атм).
• После открытия файла сертификата в ОС Windows и проверки расширений, Использование ключа для самоподписанного сертификата будет Шифрование ключей, шифрование данных (30) и он помечен как некритический, однако для подписанного CA (службы сертификации Microsoft Active Directory) это Цифровая подпись, шифрование ключа (a0) , и он помечен как критический.
• Чтобы исключить, если это может быть проблема с Использование ключа , помеченным как критическое, я создал самозаверяющий сертификат (снова используя openssl ) с этим расширением X509, отмеченным как критическое. Что интересно, он тоже работал нормально. В этом случае единственная ошибка, которую я получаю, заключалась в том, что сертификат был самоподписанным.
• Когда запрошенный подписанный сертификат возвращается обратно центром сертификации, к сертификату добавляется множество других некритических расширений X509. Я не вижу в этом проблемы на данный момент, однако это может быть причиной того, что критическое расширение Key Usage вместе с этими некритическими расширениями может привести к отказу.
• Для TLS рукопожатие, со стороны сервера вообще нет ответа.

Справедливо ли предположить, что это может быть проблемой из-за какого-либо задействованного кодирования в сертификате, подписанном CA?