nginx – 在具有服务器名称指示的反向代理后面的虚拟机上使用le

我有一台服务器设置了nat后面的一些虚拟机.
我想为我的xmpp-server-vm使用加密,因此需要在vm中使用证书.是否有可能使用nginx作为反向代理,因此我可以运行letsencrypt并使用xmpp-server获取/更新vm上的证书并保留该机器上的私钥？我不能使用nginx作为TLS终止代理,因为我的vm不应该访问反向代理本身,这是必需的,因为xmpp软件需要访问密钥.

编辑：

我做了一个我想做的原理图：

我的基本问题是,我不知道letsencrypt是否在启用了服务器名称指示的反向代理后面工作,因此我可以在xmpp-server-vm中获取证书来加密xmpp流量.