Zum reinen Absichern in einem VPN reicht prinzipiell auch ein selbst erstelltes und signiertes, wenn ein Admin die zugehörige CA auf den Nutzermaschinen installieren kann.

Ansonsten enthält die Matrix ja schon Anhaltspunkte, die Du sicher besser beurteilen kannst als wir, weil Du mehr Infos hast. Willst Du etwa nur einen Dienst auf diesem Dienst absichern, oder soll der auch unter mehreren Subdomains abgesichert sein? Möchtest Du einfach nur, dass verschlüsselt wird, oder bietet Dir die Identitätsvalidierung etwas?