Ich hab eine Wildcard Subdomain für *.int.domain.tld mit einem A-Record auf eine interne failover-IP angelegt. Das LE-Zertifikat lasse ich für die SAN's *.int.domain.tld
und int.domain.tld
erzeugen. Allerdings klappt das nur Ausnahme von DNS-Rebind-Protection für int.domain.tld, wenn man die nicht setzen kann, dann muss man die konkreten Subdomains nach dem Muster service.int.domain.tld in Unbound oder Pihole anlegen - beide erlauben das man Einträge für beliebige Domains anlegen kann, ohne dafür die HostedZone pflegen zu müssen. Der Rest wird dann durch einbinden des Wildcard-Zertifikats im Reverse Proxy und dort durch die Domain-Zuordnung zu Container geregelt.
Achtung: wenn auf dem selben Reverse-Proxy sowohl eine externe, als auch nur für interne gedachte Domain vorhanden ist, sollte man für die interne unbedingt eine Source-IP Filter einbauen, so dass nur das lokale LAN als gültige Source für die Domain akzeptiert wird.