Velmi jednoduchá možnost je využít jednohoz klientů Let's Encrypt. Používám Certbota. Asi to není nejlepší pro "paranoidní" admimnistrátory, ale pro mne je to ušetření práce.

Takže pro Certbota na Jessie musíme povolit backport:

přidáme další zdroj do sources.list - deb http://ftp.debian.org/debian jessie-backports main

a načteme znovu instalalační balíky

apt-get update

Pak naisntalujeme Certbot

apt-get install python-certbot-apache -t jessie-backports

Následuje opět rozhodnutí. Pokud nevadí automatická konfigurace, pak zadáme:

certbot --apache
Když chceme mít kontrolu nad úpravami, pak toto:

certbot --apache certonly

Po spuštení vybereme domény, pro certbot které chceme použít https a necháme Certbota pracovat.
Renew
Let's Encrypt vydává certifikáty pouze s 90ti denní platností. Obnovu pak zvládneme rychle - kontrola proběhne po zadání
certbot renew --dry-run

A samostná obnova pak prostřednictvím:
certbot renew