Wie wäre es mit der Implementierung von ACME.SH? Siehe: https://github.com/acmesh-official/acme.sh.

So wären direkt jede Menge CAs verfügbar (nicht nur Let's Encrypt) und auch die dns-01 Challange stünde zur Verfügung, um z.B. Wildcard-Zertifikate auszustellen bzw. Zertifikate ohne offenen Port 80/443 anfordern zu können, falls die Firewall intern eingesetzt wird und nicht direkt im Internet hängt.