Посоветуйте вариант реализации⁠⁠

Дело вот в чем: есть IP 1.1.1.1 и домен domain.com на нём. Dns держим на Яндексе. За маршрутизатором компы с сервисами, которые могут в http и https. Задачка разделить эти сервисы на поддомены 1.domain.com и 2.domain.com, но чтобы был только https из интернета и локальной сети. Сервисы один на Винде, другой на лине(апач). Ещё нужен редирект с domain.com на contoso.com при запросе по http и https. Сервисы умеют самостоятельно получать сертификаты от let's encrypt, если бы они смотрели в интернет.
Варианты придумывались такие: получить wildcard сертификат на домен, настроить разгрузу ssl на апаче, и пусть сервисы работают с реверс-прокси по http. Но выяснилось, что обновление wildcard нетривиальная задачка, с привлечением Яндекс api,если только не обновлять его ручками.
Вариант 2: я думал можно прозрачно проксировать апачем SSL до сервисов, но судя по статьям в инете он такое не умеет. Вот тут может я не прав.
Вариант 3: настроить haproxy для прозрачного проксирования до сервисов, и пусть они сами занимаются обновлением сертов для своих доменов. Тут, правда, придется изучать haproxy, ибо дела не имел.
Какой вариант предпочтителен, подскажите?