Добавляем в виртуальный хост дополнительный location

location /.well-known/acme-challenge/ {
    root /var/www/nginx;
    default_type text/plain;
  }

Запускаем проверку с верификацией через webroot

certbot certonly --webroot -w /var/www/nginx -d domain.com --dry-run

Если все в порядке убираем —dry-run и продлеваем сертификат

certbot certonly --webroot -w /var/www/nginx -d domain.com