O problema é que você não pode saber de onde a verificação será executada.
Você tem duas soluções gerais:
- copie a chave cert + entre os servidores.
- temporariamente, seu domínio deve ser resolvido em exatamente um lugar, emitir um certificado lá, resolvê-lo para outro local e emitir um certificado lá; por fim, retorne ao seu horizonte de divisão. Você terá que repetir isso quando quiser renovar o certificado também.
A solução 2 é uma prática muito pior do que copiar sua chave cert +.
Considere como você teria resolvido isso antes do LetsEncrypt:
- gera uma chave & CSR em algum lugar (estação de trabalho admin ou um servidor)
- enviar o CSR para a CA
- obtenha o certificado de volta da CA
- pressione a tecla & cert para ambos os servidores.
A partir dessa perspectiva, pressionar a chave / certificado de um servidor para o outro não é tão ruim assim.
Isso também foi abordado anteriormente:
link