Danke für die Kommentare. Ich wollte allerdings eine Lösung ohne das ich Port 80 bei mir zuhause weiterleiten oder freigeben müsste zu dem Gerät auf dem ich die Zertifikate brauche (Node-RED-Instanz).
Ich habe es jetzt anders, über die manuelle DNS-01 Challenge von LE gelöst:
1. certbot installiert
2. sudo certbot -d zuhause.domain.tld --manual --preferred-challenges dns certonly
3. herauskommt das dns-challenge token und warten bis Schritt 6 komplett (certbot wartet selbständig auf "weiter")
4. https://github.com/froonix/acme-dns-nc besorgt und für die netcup DNS api konfiguriert
5. ./acme-dns-nc zuhause.domain.tld "<dns-challenge-token>"
6. warten, wegen DNS-Aktualisierung (das ist natürlich nervig ...)
7. certbot "Freigabe" erteilen (Fortsetzung Schritt 3)
8. Zertifikate dort einbinden wo sie hinsollen
9. Nicht vergessen mit " ./acme-dns-nc --del zuhause.domain.tld " den TXT-Eintrag wieder zu löschen (für das nächste mal)
Mal gucken wie ich das besser automatisiert bekomme, aber zumindest bin ich erstmal glücklich