de mivel nincs interneten a gép, szerintem nem is tudnának hozzá tanúsítványt adni. Hasonlóan, mint a Let's Encrypt tanúsítványnál...
Tudnak. Ha a parent domain a tied, "hivatalosan is", akkor bármilyen hostnévre kapsz tanúsítványt alatta, bármelyik publikus CA-tól. Sehol nincs előírva, hogy a CA-nak látnia kell tudni a kiállított hostnév mögötti szervert (vagy akár csak benne kell legyen a publikus dns-edben).
Sőt, a Let's Encrypt is tud ilyet, ehhez csak annyi kell, hogy ne http-alapon menjen az ellenőrzés, mert ahhoz tényleg el kéne tudja érni az Interneten keresztül azt a hostnevet, hanem dns-alapon (ilyenkor azt ellenőrzik, hogy a dns-be be tudsz-e írni egy általuk adott challenge-et - ha igen, akkor jogosult vagy az adott hostnévre tanúsítványt kérni), ehhez persze a dns adatbázisodat kell tudnod editálni, leginkább scriptből (különben masszívan kényelmetlen lesz a dolog).