Hallo,
ich habs gefunden!
Man muss bei der Generierung bzw. Signierung durch die CA die Extentions mit angeben z.B. über ein Extension File:
openssl x509 -req -in newserver.csr -CA cacert.pem -CAkey cakey.pem -CAcreateserial -out newserver.crt -days 720 -sha256 -extensions v3_req -extfile ssl-ext.conf
Die ssl-ext.conf sieht ungefähr so aus:
[v3_req]
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:10.0.0.1, DNS:server.linuxmuster.lan, DNS:server
Erst dann sind die Extensions im signierten Zertifikat drin.