Se crei un certificato "falso" per un override DNS interno alla tua lan, non puoi generare un certificato con LetsEncrypt. Devi generarlo autofirmato, e di conseguenza non valido per nessun browser.
Il sistema di validazione di LetsEncrypt si basa su due modalità diverse: HTTP e DNS
Che vuol dire? Che tu esegui una richiesta di creazione di un certificato SSL a LetsEncrypt per miodominio.com, che fuori dalla tua rete equivale a:
miodominio.com -> DNS record A -> 56.25.41.10 (ip a caso)
ma che nella tua rete, grazie al tuo override, diventa:
miodominio.com -> DNS record A -> 192.168.0.5 (ip a caso)
Quando LetsEncrypt cercerà di validare la tua richiesta tenterà in due modi:
HTTP
http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>
Verificherà se è presente un token file nel tuo webserver collegato a quel dominio
DNS
_acme-challenge.<YOUR_DOMAIN>
Cercherà un record TXT nel DNS con un token relativo alla richiesta di certificato
Ovviamente entrambe le verifiche falliranno perchè per il resto del mondo miodominio.com ha un indirizzo IP diverso da quello indicato dal tuo override.
Qui trovi maggiori dettagli: https://letsencrypt.org/it/docs/challenge-types/
L'unico certifico che puoi generare è un self-signed:
https://linuxhub.it/articles/howto-come-creare-un-certificato-ssl-self-signed/
Un certificato non validato da nessun'altro e per tanto considerato valido da nessun browser. Anche se non valido, questo genere di certificato ti consente comunque di avviare una comunicazione criptata.
