Ich denke, dass ich den "Fehler" gefunden habe.

Über OpenSSL s_client hatte ich nur -connect incl Port eingegeben. Bei den beiden Zugriffen auf die Server konnte ich sehen, dass unterschiedliche Zertifikate angezogen wurden. Wenn ich den Parameter -servername zusätzlich angebe, dann wird in beiden Fällen das gleiche(!) Zertifikat ausgegeben.

Leider unterstützt Indy 9 nicht die Angabe eines Servernamem(kein SNI Support). Ich habe in den Quellen von Indy 9 auch nichts in der Richtung entdecken können. Inwieweit das in Indy 10 implementiert ist, habe ich nicht final herausfinden können (Internet). Ich werde mal einen Versuch mit der Community Edition starten - wenn ich die Zeit dazu finde.