@anika_voin а что за вебсервер? А то похоже, что либо в нём отсутствует или выключена поддержка свежих протоколов, и сертификат тут не при делах.

И под такой сценарий вполне себе можно получить публично доверенный (не самоподписанный) сертификат у Let's Encrypt, если:
1. У сети есть доступ в интернет
2. Есть возможность где-то (необязательно в той же сети) разместить публично торчащий портом 53 ACME-DNS