Let's encrypt für linuxmuster v7 - Königsweg?

Hallo zusammen,
viele nutzen ja bereits let’s encrypt Zertifikate für die Dienste, die auf dem Docker-Host laufen, oder für externe BBB - Server etc.

Nach dem Setup der linxumuster verfügen der server, die opensense, der docker-host und opsi über self-signed certificates.
Wenn beim Setup bereits eine auf die Schule registrierte Domain angegeben wurde, bietet es sich ja an, dass hierfür ein Wildcard Zertifikat bei let’s encrypt erstellt wird und auf die Hosts angewendet wird.
Jetzt gibt es dabei ja einiges zu beachten und es gab in der Vergangenheit einige Posts, die dies z.T. aufgegriffen haben:

oder

Jetzt ist für mich die Frage, welches Vorgehen ist der „Königsweg“ und wird so voll unterstützt?

  • Sollte die OPNSense via ACME Plugin diese Zertifikate verwalten?
  • Wie erfolgt die Verteilung, Einrichtung und Erneuerung auf den Hosts ?
  • Welche weitere Strategie ist hinreichend getestet , um weitere Web-Dienste z.B. via Reverse Proxy auf der OPNSense und mit Zertifikaten erreichbar zu machen ?

Danke für Eure Hinweise. Ich würde nach Lösung das Ganze auch gerne in Richtung Doku bringen …

VG
Chris