На сколько я помню, доступ к файлу по http нужен для создания и продления сертификата. И работает проверка только по http! Возможно сейчас что-то поменялось... не в курсе.
Если вы НЕ ставили редирект с http на https, то никаких телодвижений не нужно было делать.
Если редирект с http был настроен, то в nginx (да даже если apache, без разницы) обязательно нужно прописывать location и разрешать доступ к директории по http.
По ссылке что предоставил Владимир, говорится лишь об автоматической и ручной установке сертификата. При автоматической certboot сам создает нужные location в конфигах веб-сервера, при ручной - это строки нужно прописывать самостоятельно (неожиданно!)
Посмотрите статью на wiki.debian, возможно окажется полезной
https://wiki.debian.org/ru/LetsEncrypt 
