Подключаем репозиторий Debian buster, и выполняем:
# Не обязательно, но рекомендуется предварительно подтянуть пакеты:
sudo apt install python3-acme python3-certbot python3-mock python3-openssl python3-pkg-resources python3-pyparsing python3-zope.interface
# И далее установить Certbot для nginx (используем предварительно установленный nginx!):
sudo apt install python3-certbot-nginx
Теперь достаточно выполнить команду создания сертификатов. В интерактивном режиме она у нас запросит дополнительные данные - выбираем в ответах подходящие под задачи варианты. В опциях команды указываем домен для которого создается сертификат и перечисляем все используемые поддомены (то есть все то на что есть записи в доменной зоне, и на что может потребоваться сертификат)
sudo certbot --nginx -d admin112.ru -d www.admin112.ru -d ftp.admin112.ru -d ns.admin112.ru -d mx.admin112.ru
Подготовим скрипт обновления сертификата:
sudo nano /usr/local/etc/letsencrypt-renew.sh
#!/bin/sh
if certbot renew > /var/log/letsencrypt/renew.log 2>&1 ; then
   nginx -s reload
fi
exit

# Делаем этот скрипт выполняемым:
sudo chmod +x /usr/local/etc/letsencrypt-renew.sh
Теперь добавим задание на ежемесячный запуск скрипта реактивации сертификата. Вообще этот сертификат выдается на 90 дней и можно его реактивировать на 80-й день, с контролем успешности реактивации. Но для общего случая достаточно неплохой вариант и с ежемесячным перевыпуском сертификата:
sudo crontab -e
@monthly    /usr/local/etc/letsencrypt-renew.sh > /dev/null 2>&1
Если при создании сертификаты был выбран пункт его использования в nginx, то сертификат автоматически будет подвязан к сайту по умолчанию. Соответственно остается только его прикрутить к почтовой системе а далее его можно будет добавлять и к другим устанавливаемым и используемым сервисам. Основное что надо запомнить, это то что публичной (открытой) частью сертификата будет: /etc/letsencrypt/live/admin112.ru/fullchain.pem
А закрытая часть сертификата: /etc/letsencrypt/live/admin112.ru/privkey.pem
И так, прикручиваем сертификат для почтовой системы:
sudo nano /etc/postfix/main.cf
# Подменяем самописный сертификат который использовали при установке:
# smtpd_tls_cert_file = /etc/ssl/mail/public.pem
# smtpd_tls_key_file = /etc/ssl/mail/private.key
# на:
smtpd_tls_cert_file = /etc/letsencrypt/live/admin112.ru/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/admin112.ru/privkey.pem

sudo nano /etc/dovecot/conf.d/10-ssl.conf
# Аналогично подменяем:
# ssl_cert = </etc/ssl/mail/public.pem
# ssl_key = </etc/ssl/mail/private.key
# на:
ssl_cert = </etc/letsencrypt/live/admin112.ru/fullchain.pem
ssl_key = </etc/letsencrypt/live/admin112.ru/privkey.pem