SSL Issues: I broke the webinterface

Question

Hallo zusammen! 
 Mir sind heute (mal wieder) die Zertifikate abgelaufen. (Signing CA & Webinterface) Daher habe ich heute beides neu generiert und anschliessend importiert. Beide Zertifikate habe ich von meiner privaten CA unterschrieben bzw. ausgestellt. Ich habe aber vermutlich IRGENDEINEN Fehler gemacht beim Webinterface Zertifikat. :( 
 Um das Cert f&uuml;r das webinterface zu generieren habe ich folgendes getan: 
 
 Auf meinem Client mit openssl einen privaten Key erzeugt und anschliessend ein CSR erstellt: "openssl req -config openssl.cnf -new -newkey rsa:4096 -keyout privkey.pem -out utm.csr" 
 Den CSR habe ich anschliessend &uuml;ber das Webinterface meiner CA eingekippt und das unterschriebene Cert heruntergeladen (Base-64) 
 Das unterschriebene Zertifikat mit openssl, zusammen mit dem privkey, in ein PKCS12 gegossen: "openssl pkcs12 -export -in signed_key_base64.cer -inkey privkey.pem -out utm_2018.p12" 
 Das Zertifikat &uuml;ber das webinterface hochgeladen und "aktiv" gesetzt. 
 
 Dies hat dazu gef&uuml;hrt das ich jetzt im Firefox einen: "SEC_ERROR_INADEQUATE_CERT_TYPE" bekomme und nicht mehr auf das Webinterface zugreifen kann.:( Ich habe diesen Vorgang in der Vergangenheit schon ein paar mal so gemacht und in meinem privaten Wiki genau so dokumentiert. (letzter Cert renew war 2016) IRGENDWAS scheint sich ge&auml;ndert zu haben das das so nicht mehr funktioniert :( 
 Im Moment weiss ich leider nicht was ich machen kann um wieder an das Webinterface zu kommen. EGAL was ich mit Firefox anstelle, er weigert sich eine Verbindung aufzubauen. Das Firefox hier "strikt" ist ist mir bekannt, ich habe auch schon IE oder Opera ausprobiert mit der Hoffnung einen "Mir egal, ignorier den Cert-Error"-Knopf zu bekommen: Fehlanzeige. 
 Jetzt meine Fragen: 
 
 Gibt es eine M&ouml;glichkeit das f&uuml;r das Webinterface aktive Zertifikat &uuml;ber die Shell zu &auml;ndern? (Das alte, zwar abgelaufene, Zertifikat ist noch im Zertifikatspeicher.) 
 Mir ist leider gerade vollkommen unklar was das Problem mit dem erstellten & signierten Zertifikat &uuml;berhaupt ist. 
 
 Ich habe das Zertifikat zum "Spass" mal auf meinem Client installiert und betrachtet: Ich habe &uuml;ber SAN weitere DNS-Namen mit in das Zertifikat aufgenommen, die Fehlen diesmal. (Im alten sind sie drin!) Ich vermute irgendwas hat mit meiner openssl config nicht funktioniert. Aber, eins nach dem anderen: erstmal wieder Zugriff bekommen. 
 Hat jemand eine Idee f&uuml;r mich? Da w&auml;re ich wirklich sehr dankbar :) 
 LG

newone · Accepted Answer

Solved! 
 Ich habe den Fehler in meinem Vorgang gefunden: 
 Ich habe die falsche Zertifikatsvorlage beim signieren des csr in der CA ausgew&auml;hlt. Dadurch wurde ein User-Zertifikat daraus was so halt einfach nicht f&auml;hrt. :) Ich habe die UTM von einem Backup wiederhergestellt und dann einfach beide Zertifikate neu installiert. (Sub-CA und Webinterface) 
 So ist wieder alles "gr&uuml;n", es gibt keine Zertifikatswarnungen mehr. Was ich mir bei dem Gefrickel so gedacht hab: Warum wird beim Webinterface Zertifikat neu erstellen (management -> webadmin -> https certificate -> Re-generate WebAdmin Certificate) eigentlich nicht die "Signing ca" verwendet? Wenn man den Vorgang durchf&uuml;hrt wird ein self signed zertifikat erstellt. ?! Verstehe hier den Sinn nicht. ( IF SIGNING-CA=PRESENT THEN USE SIGNING-CA?) 
 Ich habe stattdessen auch mal versucht einfach ein neues Zertifikat zu erstellen (remote access -> certificate Management), was anst&auml;ndig signiert wird, aber da habe ich nicht die M&ouml;glichkeit SAN (Subject Alternative Names) einzugeben. Ich verwende da SANs da das Host-Zertifikat f&uuml;r das Client-Portal und f&uuml;r das Webinterface verwendet wird: Zugriff auf das Webinterface l&auml;uft &uuml;ber den internen hostnamen, Zugriff auf das Client-Portal &uuml;ber den externen sowie internen hostnamen. 
 So wie es jetzt ist brauch der Client nur der Haupt-CA zu vertrauen und alles was darunter abl&auml;uft ist "trusted".