docs: detalha workflow de ativação de sites e SSL

README.md

@@ -93,6 +93,42 @@ location /api/ {
 
 ---
 
+## 🛠️ Workflow Operacional: Ativando um Novo Site
+
+Siga este procedimento para colocar um novo sistema no ar com segurança máxima:
+
+### 1. Preparação no Repositório (Local)
+1. Crie o arquivo `nginx/conf.d/nome-do-site.conf` seguindo o **Padrão Ouro**.
+2. **Atenção:** Aponte os caminhos de certificado para `/etc/letsencrypt/live/nome-do-site/`.
+3. Faça o commit e push para a branch `producao`.
+
+### 2. Sincronização no Servidor (SSH)
+1. Entre no servidor e vá para `/etc/nginx`.
+2. Execute `sudo git pull origin producao`.
+3. Valide a sintaxe: `sudo nginx -t`.
+4. Recarregue o Nginx: `sudo systemctl reload nginx`.
+
+---
+
+## 🔐 Gestão de SSL (Let's Encrypt)
+
+O Pathfinder Proxy usa o desafio **HTTP-01** via snippet `acme_challenge.conf`. Isso permite emitir certificados sem parar o Nginx.
+
+### Emissão do Primeiro Certificado
+Rode o comando abaixo substituindo o domínio:
+```bash
+sudo certbot certonly --webroot -w /var/lib/letsencrypt/ -d meusite.com.br -d www.meusite.com.br
+```
+*O Certbot criará o arquivo de validade na pasta `/var/lib/letsencrypt/` e o Nginx enviará para o Let's Encrypt através do snippet de ACME.*
+
+### Automação de Renovação (Configuração Única)
+Para que o Nginx atualize os certificados automaticamente, o sistema foi configurado com um **Post-Hook**. Toda vez que o Certbot renovar um certificado, o Nginx fará um reload.
+
+**Verificar se o hook está ativo:**
+`cat /etc/letsencrypt/cli.ini` (Deve conter `post-hook = systemctl reload nginx`)
+
+---
+
 ## 🚀 Como Operar
 
 ### Sincronização