Пытаюсь добавить сертификат на домен с помощью сертбота, получаю эту

ошибку
Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
Domain: example.com
Type: unauthorized
Detail: 214.248.43.12: Invalid response from http://example.com/.well-known/acme-challenge/23qLosRkwe388e1dWhIK-MiNxCqaKZHrqUvUMDLM430: 404

Domain: dev.example.com
Type: unauthorized
Detail: 214.248.43.12: Invalid response from http://dev.example.com/.well-known/acme-challenge/GHw5LYbRcRRhLB6UoqdMdbz-kYaBrpVCLuTOHu2dPtw: 404

Вот такие конфиги:
server { #redirect to HTTPS
listen 80 default_server;

server_name _;

return 301 https://$host$request_uri;
}

server {
server_name example.com;
listen 443 ssl;

location ~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
}

server {
server_name dev.example.com;
listen 443 ssl;

location ~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
}

Подскажите что поправить, чтобы обновить серты или на что грешить хотя бы?

location /.well-known {

сертификаты проверяются по хттп, не хттпС

Убрать редирект и слушать 80 порт?

я не знаю надо тебе редирект или нет. но акме отвечать надо по хттп. локейшн перенеси в сервер на 80 порту

У Вас ошибка не связана с Nginx. Сертификат это просто файл, его надо скачать, а далее в конфиге есть путь к файлу. У Вас при обращении к скачиванию отдает 404 код ответа.

Визуально или ошибка в URL или надо вникать.

Перенес .well-known в сервер на 80 порту, редирект для него не срабатывает, но 404 осталась, токенов нет похоже...

В url ошибки нет думаю, первый раз они встали нормально, а сейчас пытаюсь добавить 1 новый поддомен

а ты сертботу указал вебрут?

Сделайте руками через подтверждение в DNS для wildcard

самое последнее что надо делать

Так сделай, потом идешь в DNS и прописываешь txt запись 2 штуки, часа 3 ждешь, и подтверждаешь. Лучше сессию в мультиплекторе запускай типа screen, чтобы не оборвалось и не пришлось повторять.

А в чем отличие такой сложной установки сертов от сертбота, который делает это за одну команду и автоматически продляет по крону? Есть какое-то преимущество?

Это для мультидоменов такой замут. Если домен один, то можно и как вы сказали.

обычно нет. это обходной метод, когда вебрут не доступен и апи нет. при его использовании разрабы заставляют километровую опцию указать, что ты намеренно это делаешь

Для Wildcard работает вроде только так, но может чего и изменилось, НО вряд-ли.

в нормальной жизни нет никаких причин использовать ручной днс

https://certbot.eff.org/instructions?ws=nginx&os=debianstretch&tab=wildcard

я в курсе про вилкарды. но делать это вручную нет никакого смысла

Может конечно нужно подождать, однако сертификат на новом домене is not valid почему-то...

а веб отдает новый серт?

не надо сюда портянки конфигов, есть pastebin.com

Чтобы делать это скриптом DNS должен поддерживать API, то есть скрипт раз в 3 месяца просыпается, записывает новую тхт запись для подтверждения и подтверждает, что Вы владелец домена. Можно и через API сделать, НО надо вникать держит Ваш DNS API или нет и искать под него решение, или писать самому.

да перестань ты мне рассказывать как работает акме клиент

Могу вообще ничего не рассказывать, спросили я ответил, что знал. Если все сами знаете, то спрашивать можно и не надо:)

и сертбот и другие имеют обычно поддержку самых распространенных

я тебя не спрашивал ни очем, ты перепутал наверное