Let's Encrypt does not issue certificates for local networks
Como você observou corretamente, o certificado está vinculado ao nome de domínio e apenas ao nome do domínio. Ele não tem um registro do endereço IP - portanto, se você visitar o nome de domínio, os navegadores não terão nenhum motivo para se preocupar com o tipo de endereço IP em que se encontram. (Além disso, você mencionou que o domínio será resolvido para um endereço público de qualquer maneira.)
O outro lado é que você não pode diretamente visitar https://10.10.10.5 , o que irá resultar em uma incompatibilidade.
(Dito isto, se o certificado foi emitido especificamente para um endereço IP - que o LE não oferece, mas algumas outras CAs fazem - então sim, ele precisaria ser um endereço público. Mas essa não é a situação aqui.)
Então, agora, sua única exigência é poder aprovar um dos mecanismos de validação suportados pelo LE.
-
Se, como você diz, o domínio for resolvido para um endereço público e, eventualmente, levar a um servidor Web de acesso público, a validação HTTP funcionará bem. (LE não se importa com o que acontece nos bastidores, desde que os servidores de validação possam buscar
http://<yourdomain>/.well-known/etcetera) -
Mesmo que o servidor da Web não seja publicamente acessível (ou se não houver nenhum servidor da web), o LE também oferece suporte à validação baseada em DNS, que exige apenas que você adicione alguns registros DNS extras ao seu domínio público. / p>
Uma nota sobre o encaminhamento de portas: se o seu domínio resolver para o seu endereço IP público , acessá-lo de dentro da LAN exigiria "NAT reflex / hairpinning / loopback" para ser habilitado em seu roteador; caso contrário, o domínio não será acessível a partir da LAN.