1. При получении/обновлении сертификата движок Апача можно вообще не задействовать.
2. Создайте каталог /var/www/letsencrypt
3. Создайте файл /etc/nginx/letsencrypt.inc с содержимым
location /.well-known {
allow all;
root /var/www/letsencrypt;
error_log /var/log/nginx/!letsencrypt.error.log;
access_log /var/log/nginx/!letsencrypt.access.log;
}
4. В секции server подключите файл letsencrypt.inc
include letsencrypt.inc
5. В каталоге /etc/letsencrypt найдите файл cli.ini, в нём должны быть строки
webroot-path = /var/www/letsencrypt
authenticator = webroot
installer = None
6. Запустите команду certbot renew
7. В файле crontab создать строки
# Certbot renew
0 0 15 * * root certbot renew --renew-hook "service apache reload; service nginx reload"
PS: Если обновление таким способом не пройдёт, то забейте на текущий сертификат, получите новый безо всяких оболочек, а сразу через консольные программы согласно инструкции к certbot для Nginx. В общем, никаких особых сложностей быть не должно, тут только вопрос чётко прописать откуда брать и куда класть.
