无法让 Mac 上的 Chrome 浏览器通过 SSL/TLS 安全地连接到 Centos 上的 Apache 2.4

我们运营多个运行 Leaf Web 应用的站点。我们的配置在 Centos 7.9 上运行，带有 .NET Web API 和 Apache 2.4。

该系统仅供访问我们内联网的员工使用。它使用自签名的机构根证书、中间证书以及由中间证书签名（颁发）的服务器证书。openssl显示链：

$ openssl s_client -connect leaf.ourdomain:443 -showcerts -CAfile path_to_root_cert/RootCert.cer 2> /dev/null | egrep "Certificate chain| s:| i:"
Certificate chain
 0 s:/CN=leaf.ourdomain
   i:/DC=org/DC=our_dc/CN=Our system CA
 1 s:/DC=org/DC=our_dc/CN=Our system CA
   i:/CN=Our System

我混淆了我们机构的名称，但是其他一切保持不变。

Chrome 在 Mac 上运行，并配置为使用 Mac 的 Keychain Access 应用中的根证书。这为 Leaf 的生产部署获取了安全、私密的连接。

我正在配置生产系统的 VM 克隆。我们创建了新的私钥和由中间证书签名的服务器证书。httpd.conf已针对新域名进行了修改。服务器证书、私钥和中间证书已存储在服务器上，这些 httpd 属性现在指向它们：

  SSLCertificateFile "/etc/pki/tls/certs/omop-leaf-temp_hpc_our_domain_ssl.cer"
  SSLCertificateKeyFile "/etc/pki/tls/private/omop-leaf-temp_hpc_our_domain_ssl.key"
  SSLCertificateChainFile "/etc/pki/tls/certs/Intermediate.cer"

服务器的域名似乎没有问题。经过混淆后，它是omop-leaf-temp.hpc.our_domain。此名称用于 1) https 请求的 URL、2) Chrome 报告的错误消息以及 3)CN中的SSLCertificateFile。这已得到以下确认

$ openssl x509 -text -in ./omop-leaf-temp_xxxx.cer| grep CN= | grep omop
        Subject: C=US, ST=xxx, L=xxx, O=Our System, OU=xxx, CN=-hpc.our_domain/emailAddress=leaf-support@xxx

但是，获取与生产系统的安全连接的 Chrome 实例在 VM 克隆中失败了：

“PEM 编码链”标识了 3 个证书。按顺序，它们分别是SSLCertificateFile、SSLCertificateChainFile和 Chrome 通过 Keychain Access 获取的自签名根证书（我猜）。这对我来说似乎没问题。

httpd当 Chrome 尝试连接时，不会在日志中报告错误（包括error_log、leaf_access_log和）。是。leaf_ssl_error_logLogLevelwarn

我很困惑。为什么 Chrome 会报告CN 正确Your connection is not private且NET::ERR_CERT_COMMON_NAME_INVALID证书链良好？我该怎么做才能进一步调查并修复此问题？

谢谢