Par contre il faut que le :80/443 soit naté dessus je suppose
Effectivement, c'est d'ailleurs ça que je trouve très chiant avec le client "officiel" de letsencrypt: Il ne supporte pas la méthode d'authentification par DNS (qui consiste à publier un TXT dans la zone pour prouver sa propriété) alors qu'elle existe et est supportée par leurs serveurs.
Du coup mes 2 NAS Synology ont toujours leur certificat par défaut et je me tape le warning à chaque fois que je vais sur l'interface Web.
Pour mes autres serveurs, notamment mon serveur mail sur lequel il n'y a pas de serveur HTTP, j'utilise ça:
https://github.com/Neilpang/acme.sh , qui, lui, implèmente la méthode DNS et supporte Cloudflare chez qui mes zones sont hébergées.