O problema foi que / etc / letsencrypt / live e / etc / letsencrypt / archive pasta são accessibile apenas por raiz com permissão 700 . Em seguida, também se os arquivos internos forem accessibile, o tomcat não poderá lê-los devido à permissão da pasta pai ao percorrê-lo.
Eu tenho que mudar a permissão da pasta / etc / letsencrypt / live e / etc / letsencrypt / archive para 750 e adicionar o tomcat à raiz do grupo de usuários e agora funciona.
Talvez seja melhor alterar o proprietário do grupo dessas pastas para outro que não seja o grupo raiz, como ssl-cert.