Ich nutze auch den Swag Container als reverse proxy. Er kümmert sich selbst um die Erneuerung der Zertifikate.
Wenn du den Container neu startest und in die Container Logs schaust solltest du sehen wie er die Gültigkeit der Zertifikate prüft und sie ggf. erneuert.
Je nach Konfiguration muss er über Port 80 aus dem Internet erreichbar sein (Wenn Validation wie bei mir auf "http" steht).
Validation: http (Flag to specify validation method use either 'http','dns','duckdns', or 'tls-sni')
vakilando's post in mounted by Unassigned Devices was marked as the answer