let's encrypt の管理コマンドのインストール

apt でインストールできます

$ apt install python-certbot-apache

古い debian だと python-certbot-apache がありませんので backport を使います

まず debian のバージョンを確認します

$ cat /etc/os-release

例えば PRETTY_NAME が Debian GNU/Linux 8 (jessie)　であれば，debianのバージョンは jessie なので
jessie-backport というapt line を登録します

登録手順は以下の通り．まず，新しい設定ファイル /etc/apt/sources.list.d/backport.list　を用意して，以下の内容を記述します

deb http://ftp.debian.org/debian jessie-backports main

次に

$ sudo apt update

でデータベースを更新します．うまく行けば以下のコマンドで jessie-backports から python-certbot-apache が導入できます

$ apt install python-certbot-apache -t jessie-backports

apache の設定

上記の手順で管理ツール certbot というコマンドがインストールされます．これを使って SSLの証明書の入手，とapacheの設定を行います

$ sudo certbot --apache

設定はこれだけで終わりです． https でapacheにアクセスしてみましょう

 SSLCertificateFile      /etc/letsencrypt/live/<ドメイン名>/fullchain.pem
 SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン名>/privkey.pem

postfix の設定

/etc/postfix/main.cf に，以下の設定を追加します

smtpd_tls_cert_file = /etc/letsencrypt/live/<ドメイン名>/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/<ドメイン名>/privkey.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/<ドメイン名>/chain.pem
smtpd_use_tls=yes

自動更新の設定

以下のコマンドを実行すると，自動で systemd 経由で，証明書を自動更新するようになります

$ sudo certbot renew

確認します

$ sudo systemctl |grep certbot

を実行して

certbot.timer                                         loaded active waiting   Run certbot twice daily

の部分があれば設定は完了です

動作ログは /var/log/letsencrypt/letsencrypt.logです

let's encrypt の証明書は有効期限が３ヶ月あるので，更新は３ヶ月に一回で十分です

更新が不要な場合は　上記ログには"Cert not yet due for renewal"というメッセージが記録されます