docs: refina instruções de emissão SSL e caminhos

README.md

@@ -115,14 +115,23 @@ Siga este procedimento para colocar um novo sistema no ar com segurança máxima
 O Pathfinder Proxy usa o desafio **HTTP-01** via snippet `acme_challenge.conf`. Isso permite emitir certificados sem parar o Nginx.
 
 ### Emissão do Primeiro Certificado
-Rode o comando abaixo substituindo o domínio:
+Rode os comandos abaixo (substitua o domínio):
+
+1. **Criar pasta de desafios (se não existir):**
+   ```bash
+   sudo mkdir -p /var/lib/letsencrypt && sudo chown www-data:www-data /var/lib/letsencrypt
+   ```
+
+2. **Gerar o certificado:**
    ```bash
    sudo certbot certonly --webroot -w /var/lib/letsencrypt/ -d meusite.com.br -d www.meusite.com.br
    ```
-*O Certbot criará o arquivo de validade na pasta `/var/lib/letsencrypt/` e o Nginx enviará para o Let's Encrypt através do snippet de ACME.*
+
+> [!TIP]
+> **Atenção aos Caminhos:** Se o Certbot gerar uma pasta com final `-0001`, certifique-se de que o arquivo `.conf` do seu site em `/etc/nginx/conf.d/` aponta para o caminho exato gerado por ele. Você pode conferir os caminhos ativos com `sudo certbot certificates`.
 
 ### Automação de Renovação (Configuração Única)
-Para que o Nginx atualize os certificados automaticamente, o sistema foi configurado com um **Post-Hook**. Toda vez que o Certbot renovar um certificado, o Nginx fará um reload.
+Para que o Nginx atualize os certificados automaticamente, o sistema usa um **Post-Hook**. Toda vez que o Certbot renovar um certificado, o Nginx fará um reload.
 
 **Verificar se o hook está ativo:**
 `cat /etc/letsencrypt/cli.ini` (Deve conter `post-hook = systemctl reload nginx`)