Собственно, еще как вариант - сохранять сертификаты на какой-то носитель или в cloud secret, к которому дать доступ nginx только контейнеру. Создать в контейнере bash script, кот будет запускаться до запуска ngixn и подтягивать сертификаты с этого носителя
Например...
Dockerfile:
.....................................
.....................................
ENTRYPOINT ["/bin/bash", "/usr/local/bin/entrypoint.sh"]
CMD ["/bin/bash", "-c", "nginx -g 'daemon off;'; nginx -s reload;"]