Ja, ich bitte haben muss :-)

https://certbot.eff.org/

Subdomains konnte ich bisher auch nicht abdecken.

https://community.letsencrypt.org/t/one-certificate-for-many-domains/20921

Zertifikat ist abgelaufen

Ich habe einfach mit

~> sudo -i
# crontab -e

zu den Cronjobs folgenden hinzugefügt:

25 10 25 /2 *    /root/bin/zertifikat_erneuern

Also jeden zweiten Monat (weil 90 Tage gültig) und zu einer Zeit, wo die Amis bestenfalls das erste, wirklich ganz frühe Frühstück verputzen.

/root/bin/zertifikat_erneuern enthält das hier:

#!/bin/sh
cd /root/letsencrypt
date > /var/log/letsencrypt.log
./letsencrypt-auto renew -m USER@SERVER.ORG --agree-tos >> /var/log/letsencrypt.log

Du wirst die Mailadresse anpassen und das ./letsencrypt-auto durch ./certbot-auto ersetzen wollen. Ich muss das wohl auch mal tun ... letsencrypt hat mir irgendwann certbot als Update geliefert.

Wie sieht das inzwischen aus mit VirtualHosts auf einer IP uns Zertifikaten?

Das ging eigentlich schon immer. Aber der angegebene Domainname muss auf einem öffentlichem DNS zu der öffentlichen IP auflösen, von der die Zert-Anfrage an letsencrypt zu kommen scheint und wohl auch erreichbar sein...