Verwendet am besten eine eigene Subdomain eurer externen Domain, und für diese ein Wildcard-Zertifikat beantragen. Dann bleibt die externe Zone wie gehabt und nur für diese Subdomain liefert der Server eine eigene aus. So lassen sich auch offizielle Zertifikate für TLS problemlos nutzen.
Zum Beispiel:
www.example.com -> extern
crm.example.com -> extern
server1.intern.example.com -> intern
server2.intern.example.com -> intern
router1.intern.example.com -> intern