Lze použít jakoukoli offline metodu, tzn. dns-01 nebo http. Já volím http. Pro jeho provoz je třeba aby veřejný DNS záznam na intranetový server ukazoval na veřejný www server.

Požádání:

letsencrypt -d intranet.vosa.cz --manual --preferred-challenges http certonly

Pak postupovat podle instrukcí. Vygenerovaný tag dát na veřejný web server.

apt install python-certbot-apache

certbot --apache

Obnovení:

Pro obnovu certifikátů je potřeba mít veřejný web server na který se dá vykopírovat token.

Do /etc/letsencrypt/renewal/intranet.vosa.cz.conf dát odkaz na script:

[renewalparams]
account = xxxxxxxxxxxxxxxx
pref_challs = http-01,
authenticator = manual
manual_public_ip_logging_ok = True
manual_auth_hook = /home/vosa/certbot-hook.sh
server = https://acme-v02.api.letsencrypt.org/directory

certbot-hook.sh:

#!/bin/bash
mkdir -p /tmp/a/.well-known/acme-challenge
echo $CERTBOT_VALIDATION > /tmp/a/.well-known/acme-challenge/$CERTBOT_TOKEN
scp  /tmp/a/.well-known/acme-challenge/$CERTBOT_TOKEN vosa@www.vosa.cz:/var/www/html/.well-known/acme-challenge/
rm -f /tmp/a/.well-known/acme-challenge/$CERTBOT_TOKEN

a pak zavolat certbot renew