Betreibt man nginx-Server als Reverse-Proxy kann es hilfreich sein, die Zertifikate dynamisch einzubinden. Das hat den Vorteil, dass nicht immer ein Default-Zertifikat gezogen werden muss und Non-SSL-Domains korrekterweise einen "ERR_SSL_PROTOCOL_ERROR" zurückbekommen.
Um das umzusetzen muss man lediglich folgende Beispiel-Konfiguration anwenden:
....
map $ssl_server_name $certdomain {
example.com example.com;
www.example.com example.com;
}
...
ssl_certificate /opt/certs/$certdomain/fullchain.cer;
ssl_certificate_key /opt/certs/$certdomain/$certdomain.key;
...