Also wäre schön, wenn Du die drei Einträge mal verfolgen könntest, wo hin die auflösen. Von letsencrypt gibt es vier Files, die drei von mir oben und die fullchain. Was nämlich verwunderlich ist ist, dass Apache erst ab Versin 2.4.8 mit der fullchain umgehen kann, dann aber das SSLCertificateChainFile nicht mehr benutzt werden darf. Wichtig ist vor allem, auf was das SSLCertificateFile zeigt.
Ansonsten läuft es bei mir nun auch. Und ich muss sagen, per Auto-Script wäre das nie gegangen.... Meine Verzeichnisse sind anders, das Doc-Root teilweise gesperrt etc. Das musste ich extra für die "acme-challenge" freigeben.
Was ich mit meinen ganzen ca. 60 CNAME mache, die auf den gleichen vHost zeigen, nunja, mal sehen. Der Test jetzt ist absichtlich live auf dem System und ich werde das Zertifikat nicht erneuern. Ich will wissen, was passiert, wenn das nicht erfolgt.
Ach ja, ist die Bodensee-Seite, aber nicht umgeleitet, inkl. www, ohne www und die drei Subs img0, img1, img2 (3 der 60 CNAMEs). Die Seite selbst liegt auf Debian7 mit Apache-Prefork und PHP-Modul. Die Subs auf Debian8 mit Apache-Event und PHP-FPM.
Dann noch Piwikserver und drei andere Test / Dummy-Seiten auch noch, um mehrere Domänen auf einer IP zu testen.
Nachtrag Thema renew:
In der Doku steht, man soll dafür den gleichen letsencrypt-auto aufrufen wie bei der ersten Erzeugung. Gut, das stimmt. Ändert man irgenwas, dann will er die Domänen zusammenführen oder fragt nach der Email. Aber!!!! Auch wenn der Aufruf exakt gleich ist, muss ma den Renew bestätigen. Wie soll das denn gehen per Cron?
Und welchen Wert müsste der Cron haben? 90 Tage ist es gültig. Also sage ich mal gedanklich 60 Tage. Nur was ist, wenn der Aufruf fehlschlägt? Der nächste Durchlauf wäre ja erst wieder 60 Tage später, also zu spät...