Tach!

Der Server ist ein Reverse-Proxy-Server für einen dahinter stehenden NGINX-Server.

Let's Encrypt arbeitet so, dass es den Besitz der Domain überprüfen möchte. Bei Nicht-Wildcard-Zertifikaten will es dazu nur eine Datei in .well-known lesen. Der Request muss vom Webserver beantwortet werden. Üblicherweise passiert das, indem die Zertifikatsverwaltung diese Datei anlegt und der Webserver den Request mit dieser Datei beantwortet. Das .well-known muss von allen Rewrite- und sonstigen Umschreibmaßnahmen berücksichtigt werden. Wenn bei dir der Apache nur ein Proxy ist, dann muss der Nginx den Request beantworten. Oder der Apache muss so konfiguriert sein, dass er den Request selbst beantwortet, wenn das .well-known in seinem Verantwortungsbereich angelegt wurde. Oft ist es ja so, dass der Proxy das Domain-Handling und auch die Verschlüsslung übernimmt und der dahinterliegende Server ziemlich einfach gebaut ist. Deshalb wird es wohl so sein, dass du dem Apachen beibringen musst, die .well-known-Anfragen zu beantworten, und der Zertifikatsverwaltung, dass sie in dieses dem Apachen bekannten Verzeichnis schreibt.

dedlfix.