O melhor caminho a seguir é auto-assiná-lo, pois ele ainda está em desenvolvimento.
Por quê?
As autoridades de certificação podem ser comprometidas e formar um alvo mais fácil. Seu servidor também pode ser comprometido, mas é menos provável. Mas essa é outra discussão.
Ainda assim, a maneira que devo fazer é criar uma CA corporativa (se você ainda não a tiver), assinar um certificado contra ela e enviar a autoridade de certificação pelo domínio para que seja confiável e as pessoas não fiquem incomodadas pela "conexão insegura" - erro. O único cliente externo também pode adicionar essa CA à sua lista de CA confiável.
Espero que isso tenha sido útil.