Certbot es una herramienta para administrar certificados de manera automatizada desarrollado por la EFF (Electronic Frontier Foundation) como cliente oficial de la CA de Let’s Encrypt. La instalación en Ubuntu es muy sencilla:

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache

Generar el certificado

$ sudo certbot certonly --manual -d pablo.sarubbi.com.ar

Con el parámetro -d se pueden agregar mas dominios separados por espacios.
El sistema nos advierte que va intentar leer archivo con el siguiente nombre y contenido para validar nuestra propiedad.

-------------------------------------------------------------------------------
Create a file containing just this data:
 
NHhlywEu46fGY0YLEAIiFFeeNNEQfS0pwJbiUkjqM-E.8Ep8-mh5ETXinamOr3Z3pd6qmlRiLklJy-lpP4Q64SI
 
And make it available on your web server at this URL:
 
http://pablo.sarubbi.com.ar/.well-known/acme-challenge/NHhlywEu46fGY0YLEAIiFFeeNNEQfS0pwJbiUkjqM-E
 
-------------------------------------------------------------------------------
Press Enter to Continue

Durante este proceso debemos crear el archivo con el nombre, ubicación y contenido exacto que nos define, y luego continuar con el proceso para que verifique su existencia. Hay que estar atentos porque el último paso comprueba directamente las URLs y si no fueron creadas, tendremos que ejecutar nuevamente el procedimiento.

$ sudo mkdir -p .well-known/acme-challenge/
$ sudo echo NHhlywEu46fGY0YLEAIiFFeeNNEQfS0pwJbiUkjqM-E.8Ep8-mh5ETXinamOr3Z3pd6qmlRiLklJy-lpP4Q64SI > .well-known/acme-challenge/JNHhlywEu46fGY0YLEAIiFFeeNNEQfS0pwJbiUkjqM-E
-------------------------------------------------------------------------------
Press Enter to Continue
Waiting for verification...
Cleaning up challenges
 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/sarubbi.com.ar/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/sarubbi.com.ar/privkey.pem
   Your cert will expire on 2018-01-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:
 
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
-------------------------------------------------------------------------------

Como bien dice el log, se generaron 3 archivos con el certificado, la clave privada y el CA con caducidad de seis meses. Resta apuntar correctamente el archivo de configuración del Apache a los que generamos recientemente:

<VirtualHost *:443>
 
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/sarubbi.com.ar/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sarubbi.com.ar/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/sarubbi.com.ar/chain.pem
$ sudo service apache2 restart

Modificando el WordPress

Antes que nada debemos exportar la BBDD para reapuntar todos los links internos a la nueva URL con el https delante. Lo mas conveniente es trabajar sobre una BBDD nueva, en este caso la crearemos con el nombre wp_saru_seg y los mismos permisos de acceso. Generamos un backup de la base original y reemplazamos todas las URLs no seguras por el nuevo dominio con https. Importamos nuevamente el archivo sobre la base wp_saru_seg a la cual apuntaremos el WordPress en un paso futuro.

mysqldump --skip-dump-date -uadmin -p wp_saru > bkp_saru.sql
sed -i -e 's/http:\/\/pablo.sarubbi.com.ar/https:\/\/pablo..com.ar/g' bkp_saru.sql 
mysql -uadmin -p wp_saru_seg < wp_saru.sql

Copiamos todos los archivos manteniendo los permisos y solo para estar seguros, verificamos que no haya quedado ninguna URL apuntando al sitio viejo.

cp -a /var/www/httpdocs/* /var/www/httpsdocs/
find /var/www/httpsdocs/ -type f -name "*.php" | xargs grep http://pablo.sarubbi.com.ar

Cambiamos el archivo de configuración para que apunte a la nueva BBDD y si todo anda bien podemos eliminar el sitio no seguro y la base de datos original.

$ rm -R /var/www/httpdocs/*
$ sed -i -e 's/wp_saru/wp_saru_seg/g' /var/www/httpsdocs/wp-config.php

Nos resta redirigir el trafico a las URLs que teniamos antes para que tengan como destino el sitio seguro. Esto lo hacemos mediante un Redirect en el .htaccess

echo "Redirect 301 / https://pablo.sarubbi.com.ar/" > /var/www/httpdocs/.htaccess

Con un poco de suerte y muy poco tiempo tenés configurado tu WordPress en un dominio con SSL y disponible por https://, en tu servidor Linux.