Wieso kompliziert, wenn die Dinge auch furchtbar einfach sein können? 
Heute habe ich mich mit der Frage befasst, weshalb der Firefox einen GnuTLS versichererten Webauftritt plötzlich nicht mehr mochte: Eine kurze Inspektion ergab, dass er die "Certificate Chain" - Quasi den Ursprung allen Vertrauens - nicht mehr überprüfen können wollte, weil in GnuTLS schlicht eine Option fehlt, ein entsprechendes Chainfile zu hinterlegen.
tl;dr Jap: Läuft.
Während Chrome und Internet Explorer kein Problem mit der Webseite meldeten, schlug der Firefox Alarm:
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)
Was nun?
Da auf dem Server zwei Domains laufen, die zwingend eine funktionierende SSL-Verbindung voraussetzen, habe ich mit dem Apache 2 schlechte Karten, wenn es um die Verwendung von OpenSSL geht, daher muss es einen Weg geben, auch GnuTLS von der Verwendung eines Intermediate-Zertifikates als Chainfile zu überzeugen und tatsächlich: Den gibt es!
cat intermediateCertificate.crt >> ownCertificate.crt
Fürchterlich: Viel zu einfach.
Funktioniert.