Hallo Holger,
an sich ist das, wie hmt schon gesagt hat, ganz egal. Du kannst natürlich nochmal ein neues Zertifikat ordern, oder bereits ein bestehendes nehmen. In der Auth-Konfiguration der externen Server (Moodle, Webuntis) trägst du in der URI z.B. ldaps://wiki.meindomain.dynalias.org ein und hinterlegts in der stream-Sektion der nginx-Konfiguration, sei es in der nginx.conf oder im Modul, eben auch das Zertifikat von wiki.meindomain.dynalias.org. Die NAT Regel für eingehend WAN Port 636 TCP auf deiner FW muss ja auch auf den reverseProxy zeigen und der antwortet dann auf die LDAPS-Anfragen mit dem wiki.meindomain.dynalias.org Zertifikat. Wichtig ist hier nur das URI und Zertifikat zusammen passen.
Viele Grüße
Thomas