Hallo zusammen.
Du meinst das Setup, wie ich die LE-Zertifikate direkt von der OPNSense-FW erzeugen lasse? Das ist bereits gut dokumentiert. Ich bin der Anleitung unter https://schulnetzkonzept.de/opnsense gefolgt. Das hat mich zwar echt Nerven und Zeit gekostet – aber läuft jetzt 
Ein besonderer Dank geht an dieser Stelle auch nochmal an Thomas Mayer, der auf seiner Seite alles aufgeschrieben hat.
Wir haben die Diskussion warum welcher Service jetzt wo laufen soll, ja schon öfter geführt. Ich habe mich nun für uns so entschieden, dass die OPNSense FW direkt als RevProxy läuft und zudem auch für die LE-Zertifkate zuständig ist. Ich halte das für sinnvoll; lasse mich aber gerne eines besseren belehren. Wenn man das per docker macht, kommt wieder eine Schicht dazu, die uU unnötige Kompexität in die Sache bringt – jonny (liest er hier eigentlich noch mit?) würde graue Haare bekommen …
Dachte ich mir – habe es aber möglichst auf default gelassen, um keine Änderungen vorzunehmen, von denen man später nicht mehr weiß warum und wieso das jetzt anders heißt als zuvor.
Die Anspielung
habe ich natürlich verstanden 
Schöne Grüße,
Michael