Був десь колись криво сконфігурований vhost. Apache з цим vhost’ом не міг запуститися без SSL-сертифікату. Acme-tiny не міг підписати новий сертифікат без працюючого веб-сервера. Все, капець, сабж.
Достатньо було б додати в конфіг щось типу <IfFile "/path/cert.pem"> ... </IfFile>, щоб проблема зникла.
Хулєра. Більшість моїх конфігів віртуальних хостів уніфікована і генерується з шаблонів Jinja під час виконання плейбуків Ansible, і в тих шаблонах подібної лажі немає. Але є спеціально створені виключення, якісь окремі конфіги написані руками. Є сенс позбутися таких виключень, бо це зайві ризики.