Processen är inte så farligt komplicerad egentligen.
Du genererar en privat nyckel och från den ett root-cert.
Sen installerar du root-certet på alla maskiner i nätverket du vill vara CA för.
Därefter för varje servers så skapar du nyckelpar och CSR, utfärdar cert från CSR + CA private key + CA root cert
Tror det går att automatisera med ACME Certbot så den använder din egen CA.
En setup med intern/privat CA är nog vanlig på ställen med rätt mycket servrar där det finns krav på att man inte ska kunna tjuvlyssna bara för att man kommit innanför yttre muren. Har gått igenom en hel del checklistor från större finansiella institut och känner några som jobbar på myndigheter där man är lite paranoid emellanåt. Då brukar det vara vanligt att man kräver att all kommunikation är certifierad. Om du då avinstallerar alla andra rootcert från dina interna servrar och bara litar på ditt eget så kan du begränsa vem du litar på. Och mycket billigare än att köpa tio tusen cert.
Varför man vill göra det i hemlabbet är väl bara för att få träna lite innan det är skarpt läge antar jag?