Hallo @Tobias.
Auf diese Antwort hatte ich gehofft 
Wenn ich das richtig sehe, ist das doch genau der docker-Host, der beim lmn70-Setup mit installiert wird, oder? Dahinter steckt ja ebenfalls ein abgewandelter jwilder-nginx , oder? Auf dem docker-Host bin ich bisher nicht sonderlich weit gekommen, wie man hier sieht.
Ich blicke in Sachen LE und Verteilung der Zertifikate aber offenbar noch nicht vollständig durch. Wenn es „nur“ darum ginge, einen Webdienst von außen in orange/rot erreichen zu können, wäre die Sache einfach. Aber: daaaaamals war es ja immer ein Problem, dem Server selbst ein gültiges Zertifikat unterzuschieben. Daher hatten ja einige den Servernamen auf einen FQDN umgestellt, um das zu ermöglichen (Zugriff Schulkonsole etc). Wenn die LE-Zertifikate jetzt über einen Rev.Proxy abgewickelt werden, müssen aber doch alle Services dahinter (uU in den unterschiedlichsten Netzen) trotzdem einen FQDN haben, wenn sie gültige Zertifikate erhalten sollen, oder?? In einem anderen Thread wurde schon angemerkt, dass man die Zertifikate immer auf Domänennamen, nicht aber auf IPs ausstellt … das heißt also, dass die Sicherheitsmeldung im Firefox auch weiterhin erscheint, wenn ich https://10.16.1.1 verwende, ja?
Vielleicht kannst du den Nebel ja nochmal etwas lichten…
Schönen Gruß,
Michael