今回はつまらない記事です。
nginx稼働中にSSLを更新するには、.well-knownが対象ドメインのドキュメントルートに設置されるようにすればいいと。腑に落ちなかったので、、。
letsencrypt certonly --webroot -w /var/www/html -d example.com
すると、/var/www/html/.well-known/acme-challenge/ に何か生成される。Let`s Encrypt側のサーバー?がhttpアクセスしてきて確認されるわけですね。