Получать в другом месте, например с валидацией через DNS, и копировать на хостинг.
P.S. проверять не буду - но не представляю, зачем certbot в режиме cert-only нужен рут.
Тем более, что официальный FAQ говорит, что certbot с плагином manual работает без рут прав, если вы обеспечите доступ на запись к нужным (и не обязательно дефолтным) директориям с конфигом и т.п.
https://certbot.eff.org/faq/#does-certbot-require-...