Das israelische Unternehmen StartSSL.com bietet kostenlose SSL-Zertifikate, die von Browsern vollständig akzeptiert werden, weil das Root-Zertifikat von StartSSL.com in eigentlich allen Browsern schon direkt hinterlegt ist.
Zunächst mit dem Browser wieder anmelden, den man beim letzten mal benutzt hat (und hoffentlich ist das kürzer als ein Jahr her, sonst ist das Authentifizierungs-Zertifikat abgelaufen). Dann den Certificates Wizard aufrufen. Als Certificate Target „Web Server SSL/TLS Certificate“ auswählen. Auf der nächsten Seite mit Skip weitermachen.
Zwischendurch auf dem Webserver mit
openssl genrsa -out hostname.domain.tld.key 4096
den privaten und öffentlichen Schlüssel und mit
openssl req -new -key hostname.domain.tld.key -out hostname.domain.tld.csr
den eigentlichen Certificate Signing Request erstellen. Dann den Inhalt der Datei hostname.domain.tld.csr im Browser auf der nächsten Seite von Startssl.com in das Eingabefeld übertragen. Auf der nächsten Seite die Domain auswählen, zu der das Zertifikat gehört und auf der nächsten Seite die Subdomäne eintragen und den Certificate Signing Request abschicken.
Nach kurzer Zeit findet man dann in der Tool Box unter dem Punkt 
Retrieve Certificate das beantragte Zertifikat und kann es dann mit Cut&Paste auf den Webserver übertragen und in der Apache Konfiguration eintragen. Das Webserverzertifikat kann übrigens auch problemlos für Postfix und Dovecot genutzt werden!
Bei dem zweiten openssl Aufruf (openssl req) wird man am Schluß nach einem Paßwort gefragt. Sollte man dort eines angegeben haben, dann startet Apache nur, wenn bei seinem Start auch immer das Paßwort des Zertifkats eingetippt wird. Man kann aber dieses Paßwort so wieder wegbekommen:
openssl rsa -in hostname.domain.tld.pem -out hostname.domain.tld.pem.neu