Lässt ihr acme.sh eigentlich als root oder separaten user laufen?
Beides. Root wird nur benötigt wenn Du via socat einen Webserver auf Port 80 starten willst. Für die Webroot Challenge einfach das Verzeichnis einfach beschreibbar machen, für DNS Challenge braucht es gar keine besonderen Rechte.
Gnarf, verlesen. Immer als separater User. Rechte Auf die Certs dann über Gruppen.