Hallo Tobias,
zunächst einmal: Zertifikate gelten für Rechner, nicht für Domänen. Also für server.humbi.de und nicht für humbi.de. Genauso ist normalerweise humbi.de keine IP zugeordnet.
Nun kann man allerdings in der Tat entgegen der Logik für humbi.de eine IP hinterlegen, zum Beispiel die von server.humbi.de. Dann muss im Zertifikat von server.humbi.de zusätzlich humbi.de als alternativer Servername stehen - Let’s Encrypt kann das.
Punkt 2 und 3 funktionieren nach der Umstellung und mit einem offiziellen Zertifikat sofort.
Zu Punkt 1: Soll der Apache auf dem Server ebenfalls übers Internet erreichbar sein oder nur Dein Owncloud-Server? Wenn nur der Owncloud-Server, dann musst Du lediglich im IPFire eine Regel dafür anlegen (Port 443 aus Rot wird an Port 443 vom Owncloud-Server weitergeleitet, kopiere einfach die Regel “Ssh-Zugang von außen”).
Wenn auf beiden Rechnern der Webserrver von außen erreichbar sein soll, dann wird es trickreicher. Eine Möglichkeit ist ein Dienst auf dem Ipfire, der das sortiert, eine andere, das über unterschiedliche Ports zu regeln.
Viele Grüße
Jörg