Eu supus que você esteja olhando na direção errada ...
O desafio é usado para verificar o Mapeamento de DNS correto, portanto, você precisa verificar se os domínios relacionados aos certificados estão no IP correto (registros A ou CNAME).
Assim, o desafio (HTTP) com o letsencrypt, por exemplo, é tentar trocar informações com o * Webserver em execução no WELLKNOWN NOT , mas registro do DNS .
Se o seu domínio é sub.mydomain.com, o seu nginx deve estar configurado para responder ao sub.mydomain.com através do protocolo DNS e documentroot como / var / www / desidratado deve ser gravável para alcançar o desafio.