Amit én javasolnék: ha csak néhány szerverre akarsz certificate-et, ne építs saját PKI-t. Az már most látszik, hogy sok vesződés jól csinálni és főleg hosszú távon kezelni.
Ha amúgy van egy publikus DNS zónád megfelelő szolgáltatónál, akkor helyette igényelj kész Let's Encrypt-es certficate-eket azon belüli hostnevekre. Erre vannak előre gyártott scriptek és tool-ok, amik megteszik, és mindig meg is újítják. DNS validációval meg tudod tenni olyan hostokra is, amik privát hálózaton vannak, és nincsenek is semmilyen porton publikálva. Az egyetlen dolog, ami kell hozzá, hogy a publikus DNS zónádban a server1.example.com mondjuk a 192.168.0.10 címre mutasson, ami a szervered privát IP címe. (Ez lehet kicsit véleményes, hogy zavar-e téged, hogy a privát IP címe megtudható a szerverednek, attól függetlenül, hogy amúgy kívülről emiatt amúgy még nem fognak tudni vele kommunikálni.)
És akkor ha a privát hálózatodon vagy, akkor a server1.example.com -ot megszólítva az egy érvényes cert-et fog mutatni, ráadásul ezt minden kliens el fogja fogadni, nem kell sehová a saját Root CA-t importálni.