Я не знаю, считается ли это обходным путем, но вы можете запустить веб-сервер и сделать его общедоступным прямо во время работы certbot. После этого вы можете снять его. Итак, вы можете создать скрипт, который запускает веб-сервер и делает его общедоступным, затем запускает клиент letsencrypt и после этого останавливает его.
Конечно, велика вероятность, что вы не сможете/не захотите сделать свой сервер общедоступным хотя бы на несколько секунд, но я не могу придумать другого жизнеспособного решения.