Comment émettre des certificats HTTPS à destination de services internes avec Let's Encrypt sans les mettre en ligne ?

Il est assez courant d'avoir des services internes, accessibles seulement par VPN, e.g. un hyperviseur ou des interfaces d'administration système. Cependant, depuis quelques années, les navigateurs poussent pour l'usage systématique de HTTPS partout et ce n'est pas si idiot que ça d'un point de vue de la menace même en intranet ou en gestion de PKI. Ici, on présente une façon simple d'obtenir des certificats avec la méthode DNS-01 de ACME tout en isolant le serveur DNS qui effectuera les challenges.