EPEL リポジトリにある certbot パッケージを利用して Let's Encrypt で SSL 証明書を取得して Apache に設定する手順。

yum -y epel-release ; yum -y install certbot{,-apache}
firewall-cmd --add-service=http{,s} --permanent && firewall-cmd --reload
certbot run --apache -d www.example.com
cat << "_EOF_" > /etc/cron.monthly/certbot
#!/bin/sh
/bin/certbot renew --quiet
_EOF_
chmod +x /etc/cron.monthly/certbot

certbot-apache を指定すると python2-certbot-apache として補完してくれる。
--apache オプションを指定すると、設定ファイルから自動的に該当する箇所を検出して https 用の設定ファイル -le-ssl.conf として自動生成してくれる。

なお、VirtualHost ディレクティブで <VirtualHost *:443> のようにワイルドカードを指定していると、 /etc/httpd/conf.d/ssl.conf<VirtualHost _default_:443> の設定が優先されるのか SSLProtocolSSLCipherSuite などが上書きされない模様。(詳細未調査)