certbot Verbindungsproblem – Let’s Encrypt klappt nicht

Es gibt ein certbot Verbindungsproblem.
Da möchte ich einfach einer weiteren Sub-Domain einen Schlüssel mit Let’s Encrypt bzw certbot erstellen und prompt klappt es nicht!
Der Ablauf war ganz logisch: DNS Eintrag gemacht, Kaffee geholt und getrunken. DNS Eintrag mit so etwas wie whatsmydns.net geprüft.
Der Apache Webserver lief bereits mit einer anderen Sub-Domain, die auch überwacht wird! Der erste Versuch mit dem certbot einen Let’s Encrypt Schlüssel zu erstellen war ein Syntax Fehler von mir. Doch beim zweiten mal kam:

The server could not connect to the client to verify the domain :: Failed to connect to XXX.XXX.XXX.XXX:443 for TLS-SNI-01 challenge

Wie kann das sein? Es gibt ein Netzwerkproblem! Ich habe vergessen, dass der Webserver nicht von allen Subnetzen aus erreichbar ist und zudem nur von wenigen Personen/Diensten benutzt werden soll!
Let’s Encrypt prüft den Webserver bevor etwas erstellt wird. Siehe auch: Let’s Encrypt workflow

Die Lösung: Die County Blocking Funktion der Firewall für die Erstellungszeit mit certbot ausschalten.

Nach einem weiteren Anlauf war der letsencrypt Schlüssel schnell erstellt und aktiv!

Update
Als Alternative könnte man auch die Anfragen von Let’s Encrypt zulassen!


acme-v01.api.letsencrypt.org
acme-staging.api.letsencrypt.org
acme-v02.api.letsencrypt.org
acme-staging-v02.api.letsencrypt.org