Und hier noch mal mein Lösungsweg als mögliche Umsetzung für andere:
Man kann es bestimmt auch anders/schöner machen..
Domainvorbereitungen
WAN Nameserver
tsig-keygen $DOMAIN_autodiscover >> /etc/bind/keys.conf
/etc/bind/named.conf.local
zone "$DOMAIN" {
update-policy {
#Den braucht man glaube ich nicht unbedingt
grant $DOMAIN_autodiscover. name $DOMAIN A TXT;
#Den schon
grant $DOMAIN_autodiscover. name _acme-challenge.$DOMAIN A TXT;
};
/var/cache/bind/$DOMAIN.db
autodiscover IN CNAME gromi.$DOMAIN.
gromi IN CNAME kunde.dynamischerhost.tld.
LAN Nameserver
Im internen DNS eine neue Primäre Zone gromi.domain.tld.
Domain-Server heraus nehmen. Neuen Eintrag machen. Namen frei lassen und als Ziel Interne IP unseres grommunio-Hosts eintragen.
ACME.sh
Wildcard-Zertifikat *.domain.tld mit dem oben erstellen tsig-key anlegen.
Alternativ zumindest autodiscover.domain.tld und alle gromi.domain.tld