Сертификат с SubjectAlternativeName (SAN) дает ERR_CONNECTION_RESET в Google Chrome

Это закрытое приложение. Я пытаюсь убедиться, что нет никаких предупреждений / ошибок, связанных с HTTPS.

Ошибка, которую я получаю после помещения сертификата в поле SAN (подписанного доверенным центром сертификации), заключается в том, что веб-приложение вообще не загружается, т.е. исключительно Google Chrome (последняя версия) выдает ERR_CONNECTION_RESET. Это единственная ошибка, которую я получаю. Firefox / Safari работает нормально.
Напротив, самозаверяющий сертификат с полем SAN не выдает ошибки сломанного HTTPS (предупреждение, связанное с SAN); Я не буду говорить о другой ошибке, которую я получаю из-за самоподписанного сертификата.
А ~~аномалия~~ различие, которое я вижу, заключается в том, что корневой сертификат (на один уровень выше; всего есть два уровня глубины) в цепочке сертификатов, в случае доверенного сертификата, подписанного CA, не имеет в нем никакого поля SAN.
Я не пробовал исправлять эту часть (не уверен, можно ли это вообще исправить, поэтому не буду много говорить), то есть прикрепление поля SAN к корневому сертификату. Я хочу поговорить об этом здесь, прежде чем предпринимать дальнейшие действия со своей стороны.
Приложение (для которого требуется сертификат с SAN) не является общедоступным, т.е. запись DNS в поле SAN содержит адрес домена, который не может быть разрешен публично (не должно быть проблемой до тех пор, пока мой браузер не сможет разрешить его? ).

Любое понимание очень полезно. Пожалуйста, предложите, если необходимы разъяснения.

P.S.

Некоторые обновления:

Я хотел проверить, будет ли самоподписанный CA, созданный openssl, с расширениями X509 (SAN, Key Usage) выдавать ошибку. Интересно, что это не привело к ошибке Chrome. Он работает нормально, как и должен (за исключением самозаверяющей ошибки, которая не вызывает беспокойства).
Открыв файл сертификата в ОС Windows и проверив расширения, Ключевое использование для самоподписанного сертификата Ключевое шифрование, шифрование данных (30) и он помечен как некритический, однако для подписанных CA (Microsoft Active Directory Certificate Services) он Цифровая подпись, шифрование ключа (a0) и отмечен как критический.
Чтобы исключить, может ли это быть проблемой с Ключевое использование помеченный как критический, я создал самозаверяющий сертификат (снова используя openssl) с этим расширением X509, помеченным как критическое. Что интересно, он тоже работал нормально. И в этом случае единственная ошибка, которую я получаю, заключалась в том, что сертификат был самоподписанным.
Когда запрошенный подписанный сертификат возвращается обратно центром сертификации, к сертификату добавляется множество других некритических расширений X509. Я не вижу в этом проблемы на данный момент, однако это может быть причиной того, что критический Ключевое использование extension вместе с этими некритическими расширениями может привести к отказу.
Для рукопожатия TLS вообще нет ответа со стороны сервера.

Справедливо ли думать, что это может быть проблемой из-за какой-либо вовлеченной кодировки в сертификате, подписанном CA?

Сертификат, подписанный ЦС, должен был быть в формате PEM / Base64. Это было скорее в формате DER. Его изменение устранило проблему.

Google и Symantec в настоящее время немного борются План Chrome не доверять сертификатам Symantec Ваш официальный сертификат от корневого центра сертификации Symantec (или любого компонента цепочки)? Может быть, ваш сертификат уже наполовину ненадежен. В этом случае, по мнению Google, вам следует обратиться к более надежному сайту.