Usando o Let's Encrypt certs on LAN com redirecionamento de DNS?

Estou tentando usar LE certs existentes com um servidor na minha LAN. Eu expus a porta 443 para obter os certificados para mine.example.com e o acesso https funciona bem na WAN.

No entanto, eu supus (talvez tolamente) que eu poderia usar os mesmos certificados internamente configurando o redirecionamento de DNS (usando dnsmasq em uma caixa separada) em minha LAN para apontar mine.example.com para o IP local.

O redirecionamento funciona bem e aponta as máquinas locais para o IP interno quando eu vou para mine.example.com , mas os certificados agora mostram os erros de 'Autoridade de certificação inválida'.

Talvez eu entenda mal como o processo de CA funciona, mas presumi que, como os LE CERs são baseados em DNS, eles ainda deveriam trabalhar com o redirecionamento de DNS local.

Alguém sabe como fazer isso funcionar?

Ou alguém pode explicar por que isso não funciona?

Eu sei que posso obter diferentes certificados para máquinas locais do LE, mas isso significaria tentar configurar o servidor para usar certificados diferentes para acesso interno e externo. Supondo que eu precise fazer isso, existe uma maneira fácil de usar certificados diferentes dependendo do tráfego de origem?

Estarei servindo conteúdo da web através do nginx e também do painel de administração do Webmin, então pode ser relativamente fácil de fazer para o nginx, dada a flexibilidade nas configurações (embora o google também não tenha sido muito útil aqui), mas não tenho certeza outros serviços da web em execução na máquina?

P.S. desculpe se isso acaba por ser uma duplicata, mas não consegui encontrar nada com muita pesquisa aqui (ou nos googles).