Du musst ein Zertifikat mit dazugehörigem privaten Schlüssel erstellen und den Apache Webserver konfigurieren, dass er auf Port 443 TLS mit Zertifikat + Schlüssel anbieten soll. Damit bekommst du allerdings auf jedem Client eine Zertifikatswarnung und musst dein Zertifikat als vertrauenswürdig importieren. Üblicherweise lässt man sich das Zertifikat mit einer Zertifikatsanfrage von einer Zertifizierungsstelle ausstellen, denen Browser/Betriebssysteme vertrauen. Früher musste man dafür zwingend Geld in die Hand nehmen. In nahezu allen Fällen ist dieses ertragreiche Geschäft mittlerweile obsolet. U-Labs läuft seit zig Jahren auf der freien Zertifizierungsstelle Let's Encrypt. Sie bietet nicht nur kostenfreie Zertifikate an, sondern hat von Anfang an Möglichkeiten wie den Certbot, um diese automatisch zu verlängern.

Das ist der empfohlene Weg. Den Zertifikaten wird längst von allen gängigen Browsern und Betriebssystemen vertraut. Wer Geld ausgeben will, spendet lieber hier und da ein paar Euro an Let's Encrypt, statt kommerzielle Zertifizierungsstellen für automatisierte Prozesse reich zu machen.