Názor k článku Vlastní certifikační autorita v kabátě Let's Encrypt od motyq - Tak samozřejmě, že pro interní použití je třeba...

Tak samozřejmě, že pro interní použití je třeba si tu důvěru zajistit nad svými systémy. Naimportujete svůj CA cert chain kam potřebujete, ideálně ho máte rovnou v šabloně instalačního media nebo v šabloně virtuálních strojů.

Pro tyhle případy - prostě obyč generování/po­depisování/ově­řování (místo "ručních" self-signed) zkouším používat cfssl - https://github.com/cloudflare/cfssl - http api, multiroot, intermediate ca. Pro vlastní systémy, které nejsou jen http se mi to jeví jako vhodnější varianta - např různé db replikace, tcp tls/ssl daemoni. Možnost vydávat klientské nebo serverové certifikáty zvlášť. CRL a OCSP už je čistě třešnička navíc. Není to z mého pohledu uplně out-of-the box použitelné, ale vypadá to nadějně.