Let's Encrypt можно использовать и без интернета. У него есть два механизма валидации. HTTP01 и DNS01. Первый требует доступности узла из интернета (не годится). Второй - не требует, но требует доступа к изменению DNS записей. Это хорошо работает только для облачных провайдеров (Azure, Amazon Route53, Google Cloud... и CloudFlare). Поэтому кратко - да, LE можно выписать себе и без интернета.
С другой стороны, можно собрать автоматизацию, которая будет на узле с доступом в интернет получать необходимые сертификаты, а потом как-то из закрытого контура их оттуда можно уже забрать... Но такое себе.
Касательно TLS/SSL без подписи. Никто не мешает установить на сервер самоподписанный сертификат. Главное, чтобы у него Common Name совпадал с FQFN, по которому Вы ходите на сервер. По прямым IP работать не будет!!! Это особенность проверки. Так вот. Самоподписанный сертификат добавляете в trusted store компьютера, где красный замочек с крестиком.... магия.... и замочек становится зелененьким.
