Получение бесплатного сертификата от Let's Encrypt.
При запросе, нужно подтвердить владение доменом, с помощью ТХТ-записи в DNS либо с самого веб сервера, рассматривается второй вариант т.к. есть возможность автопродления. Сертификат выдается на 90 дней.

Создаем общий конфигурационный файл (/etc/apache2/conf-enabled/lets.conf), в котором пропишем алиас

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/

в данном примере, запросы для страниц /.well-known/acme-challenge всех сайтов мы переводим в каталог /var/www/html/.well-known/acme-challenge

Проверяем корректность конфигурационного файла и ребутим если все норм:

# apachectl configtest

# systemctl restart apache2

Далее ставим утилиту certbot, с помощью нее процесс работы с сертификатами максимально автоматизирован.

# apt install certbot

Получение сертификата:

# certbot certonly --webroot --agree-tos --email admin@my-site.ru --webroot-path /var/www/html/my-site.ru/ -d my-site.ru -d www.my-site.ru

Создаются 2 файла в /etc/letsencrypt/live/my-site.ru.
Публичный ключ будет с именем cert.pem, а приватный — privkey.pem

Для автопродления создаем задачу в планировщике (crontab -e). Уточните точный путь (which certbot)

# 0 0 * * 1,4 /bin/certbot renew