Com o domínio registrado no DNS e configurado no Apache na porta 80, segue:
apt install certbot python3-certbot-apache certbot --apache -d your_domain -d www.your_domain
Responda as perguntas do script com atenção!
Particularmente, prefiro deixar o redirecionamento automático de http para https.
Os certificados deverão ser salvos dentro da pasta /etc/letsencrypt/live/ automaticamente.
O script criará um novo vhost para o domínio dentro do apache se você respondeu para redirecionar para https.
Esse script também gera um cron job em /etc/cron.d para renovar o certificado automaticamente e pode ser testado com o comando abaixo:
certbot renew --dry-run