Так получилось, что у меня водится целый зоопарк различных серверов с различными возможностями и ограничениями. Тут пришла пора обновить сертификаты и... понеслась.
Для стандартных сертификатов (crt+key) мне без проблем по старым настройкам выдал все freessl. Тут просто сконвертил в нужные форматы и можно заново привязывать.
Проблема выскочила с облаком. Так как там помимо всего прочего стоит HSTS то сервак после истечения срока сертификата вообще не дает зайти на страницу даже с допущением СЕРТИФИКАТ ПРОСРОЧЕН. Все бы хорошо, но в Apache там стоят pem сертификаты fullchain.pem, privkey.pem. Как получить их из имеющихся я (пока) так и не понял и думал найти путь проще, поэтому использовал certbot который стоит у меня на другом серваке. Поскольку маршрутизация по доменам и адресам у меня весьма запутанная, то для генерации по порту 80 оказалось возможно использовать только основной WWW сервер, на котором вручную надо создать acme-challenge файл, в то время как certbot может работать только на другом серваке, куда не попасть по порту 80 ну никак.
В общем запускаю certbot, указываю генерация вручную, домен. (certbot certonly -d домен --manual)
Далее копипаст имя файла которое должно быть в челлендже и в него копипаст строку.После этого получаю нужные мне файлы. Дальше надо их между серваками перекинуть через Samba. Тут вышла тонкость что надо при копировании из папки linux'а указать что копировать без сохранения аттрибутов и Follow links, тк certbot указывает на папку в которую сунул линками сертификаты иначе у меня нифига не копировалось в шару (естественно).
Ну а дальше - копируем через самбу в папку с сертификатом сервера на котором стоит SSL и этот поддомен и подключаем файлы в настройках Apache
Пока во всем разобрался блин потратил кучу времени. (((