Jo, jenže ono to nemá připojení k internetu...
Tzn. jde o síť úplně odstřiženou od internetu? Vy tam přijdete s telefonem a připojíte se na místní AP? Pak tam klidně můžete použít self-signed certifikát, protože ten si jednou nainstalujete – a nikdo jiný se tam připojovat nebude.
Ale pokud tam v síti internetová konektivita je, můžete použít důvěryhodné certifikáty od Let's Encrypt, ZeroSSL nebo Buypass. Ten certifikát by nezískával embedded server, nýbrž proxy server. (A nemusí to ani dělat sám, může to pro něj zprostředkovat jiné zařízení). A stačí možnost vložit záznam na příslušný DNS server a stáhnout vystavený certifikát přes HTTPS. Třeba
Caddy může fungovat jako proxy server, zároveň umí automaticky získávat certifikáty přes ACME, a už má implementovánu podporu pro několik cloudových poskytovatelů DNS.
Self-signed je jedna možnost, ale ten mi to taky zamítne, když bude mít delší dobu než 39 měsíců ne?
Ne. Ta pravidla na délku platnosti se týkají jen certifikátů vydávaných uznávanými certifikačními autoritami. A ta délka už nejsou tři roky, ale rok a kousek.
Ale v tom případu, který jsem popisoval, by se self-signed certifikát používal jen pro komunikaci mezi embedded serverem a proxy serverem, tím pádem by pravidla prohlížečů nehrála vůbec žádnou roli. Tomu self-signed certifikátu by musel důvěřovat jenom ten proxy server.
Výhoda předřazeného proxy serveru je také v tom, že v něm můžete průběžně aktualizovat šifrovací protokoly a algoritmy. Za 10 let tu budeme mít třeba TLS 1.6 nebo něco takového, nové šifrovací algoritmy – a dostat to na ten embedded server bude dost obtížné ne-li nemožné.