Wäre das erlaubt, wäre ein Zertifikat für z.B. 192.168.1.10 auf jedem System dieses Planeten mit selber IP zertifiziert und Du könntest jedes System durch Änderung seiner IP zu einem vertrauenswürdigen Client erklären.
Ganz so einfach ist es zum Glück nicht.
Dein beliebiges System müsste schon den passenden privaten Key haben, der zu dem Request passt, den du (oder jede andere CA) "unterschrieben" hast.
Ehrlich gesagt weiß ich nicht, ob das laut Standard zulässig ist, aber in meinem Fall funktioniert eigentlich genau das.
Ich habe mir eine eigene CA erstellt und in Win 10 in den Zweig "vertrauenswürdiger Stammzertifizierungsstellen" importiert.
Damit habe ich dann ein entsprechendes selbst erstelltes Zertifikat für das NAS "unterschrieben" welches einfach auf den im NAS konfigurierten Namen (unter Systemsteuerung->Netzwerk->Servername) als "Common Name" und zusätzlich die lokale IP des NAS als "Subject Alternative Name" enthält.
Damit kann ich dann z.B. mit Chrome ohne die "nicht sicher Meldungen" auf das NAS zugreifen.
Allerdings geht das halt nur, weil Chrome in dem Fall die Liste der vertrauenswürdigen Anbieter des Betriebssystems auswertet. Wenn die benutze App (wie anscheinend die Photo App) das nicht macht und selbst keinen entsprechenden Zertifikatstore führt (wie z.B. Firefox), dann wird das nicht klappen - wobei das dann wahrscheinlich auch mit Lets Encrypt nicht funktionieren kann? Woher soll die App denn wissen, ob das Zertifikat gültig ist, wenn es keine entsprechende Liste führt/ausliest, welche die "erlaubten" CA's enthält....
Aber kann ich nix zu sagen, nutze die App nicht.
Wikipedia sagt IP-Adressen sind als SAN zulässig:
https://en.wikipedia.org/wiki/Subject_Alternative_Name
https://www.openssl.org/docs/manmaster/man5/x509v3_config.html#Subject-Alternative-Name