Порт наружу вот и вся публикация. Ну да, ну через ж... зато дешево жи!
Просто проброс порта 443? Ну тогда да, внутренний нужен будет.
А вот кстати, чем оно плохо? В отличие от платников?
Раз в три месяца надо продлевать. Но, этот процесс можно автоматизировать. Но нужно будет несколько погеморроиться для этого
Плюс, конкретно для того клиента, которым я пользуюсь (
https://github.com/Lone-Coder/letsencrypt-win-simple/releases ), очень хитрая схема, особенно не автоматизируешь, нужен IIS, на нем нужно забиндить на 80-й порт все имена, которые ты выписываешь (а у тебя там уже OWA и прочее от Эксча, между прочим) и только потом запускать. Гемор, в общем.
Вроде еще был на powershell скрипт еще есть, но я его еще не смотрел, как он работает.
Updated: 12 July 2017, 15:16:12
Вот тут можно посмотреть, что там под винду:
https://letsencrypt.org/docs/client-options/Другие тестить надо, наверно они получше.