надо включить модуль сертификатов, создать сертификат в этом модуле (через вебморду)...
Я сделал без этого. Поставил и настроил certbot, получил сертификат, затем:
Отредактировал /etc/apache2/sites-available/default-ssl.conf:
SSLCertificateFile /etc/letsencrypt/live/mail.domain.tld/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mail.domain.tld/privkey.pem
скопировал main.cf.mas и dovecot.conf.mas из /usr/share/zentyal/stubs/mail в /etc/zentyal/stubs/mail
отредактировал /etc/zentyal/stubs/mail/main.cf.mas:
my $certFile = '/etc/letsencrypt/live/mail.domain.tld/fullchain.pem';
my $keyFile = '/etc/letsencrypt/live/mail.domain.tld/privkey.pem';
отредактировал /etc/zentyal/stubs/mail/dovecot.conf.mas:
ssl_cert =</etc/letsencrypt/live/mail.domain.tld/fullchain.pem
ssl_key =</etc/letsencrypt/live/mail.domain.tld/privkey.pem
если нужен сертификат для jabber, то:
cat /etc/letsencrypt/live/mail.domain.tld/privkey.pem /etc/letsencrypt/live/mail.domain.tld/fullchain.pem > /etc/ejabberd/ejabberd.pem
Для рестарта сервисов после обновления сертификатов сделал файл /etc/letsencrypt/renew-hook.d/restart-services.sh (разрешения 0755):
#!/bin/sh
cat /etc/letsencrypt/live/mail.domain.tld/privkey.pem /etc/letsencrypt/live/mail.domain.tld/fullchain.pem > /etc/ejabberd/ejabberd.pem
/usr/bin/zs webadmin restart
/usr/bin/zs sogo restart
/usr/bin/zs mail restart
/usr/bin/zs jabber restart
Перезагрузился. Веб-интерфейс, SOGo, почта, jabber - все с валидными сертификатами. При этом нет шансов, что кто-нибудь залезет кривыми руками и что-нибудь поломает в Certification Authority. У меня его просто нет.