Willst Du wildcardzertifikate einrichten?

Dann beachte, dass es auf https://certbot.eff.org/instructions?ws=apache&os=leap eine Auswahl dafür gibt. Den DNS-Test musst Du dann mit machen.

Und klar: Der Webserver muss während des Bezugs der Zertifikate und beim Update natürlich aus dem internet erreichbar sein.

Dann fällt mir noch folgendes ein: Dein Apache ist ja ein Proxy.

Dann könnten Dir die Ausführungen hier sehr helfen:

https://bendellar.com/apache-as-reverse-proxy-for-letsencrypt-free-https-certificates/

insbesondere das

ProxyPass /.well-known !

bei der Konfiguration des(der) (v)Hosts sollte Deine Beachtung finden.

sollte Dein Interesse finden und der certbot muss diese datei auch anlegen und beschreiben können.