<p>I have gone down a similar path. Certbot uses the Lets Encrypt service to manage the needed keys. I have found that using the following Bash tool to manage the creation and validation of the needed certs works great.</p><p></p><p><a href="https://github.com/Neilpang/acme.sh">https://github.com/Neilpang/acme.sh</a></p><p></p><p>We deploy Dovecot to AWS, as such we use userdata scripts to execute the above mentioned tool....</p><p></p><div></div><div><pre style="background-color:#000000;color:#f8f8f2;font-family:'Menlo';font-size:9.0pt;"><span style="color:#e6db74;">pushd /opt/<br></span><span style="color:#e6db74;">sudo git clone https://github.com/Neilpang/acme.sh.git<br></span><span style="color:#e6db74;">pushd acme.sh<br></span><span style="color:#e6db74;">sudo --preserve-env ./acme.sh --install --accountemail domains@<your-domain>.com --certhome /opt/letsencrypt<br></span><span style="color:#e6db74;">export AWS_ACCESS_KEY_ID=${LetsEncryptAccessKey}<br></span><span style="color:#e6db74;">export AWS_SECRET_ACCESS_KEY=${LetsEncryptSecretKey}<br></span><span style="color:#e6db74;">sudo --preserve-env ./acme.sh --issue \<br></span><span style="color:#e6db74;">--dns dns_aws \<br></span><span style="color:#e6db74;">--dnssleep 60 \<br></span><span style="color:#e6db74;">--staging \<br></span><span style="color:#e6db74;">-d mail.yourdomain.com</span></pre></div><p>The above commands perform the following...</p><p></p><p>- clone the tool</p><p>- setup the tool</p><p>- export API keys (hard to work around this with IAM only applied to the EC2 instance)</p><p>- run the tool using the Lets Encrypt staging endpoints. This is important since Lets Encrypt rate limits their production APIs, and since we deploy to AWS often, we potentially request many certs.</p><p>- the "--dns dns_aws" flag tells the tool to use DNS records to perform the validation of ownership requests from Let Encrypt. TXT records are added, then removed to the Hosted Zone of mail.yourdomain.com.</p><p></p><p>Upon successful execution of the tool both the ".csr", ".key" and fullchain keys are available for use within Dovecot.</p><p></p><p>Note: These keys are only valid ~3 months, so this process does need to be maintained. The author of the tool has included a CRON to aid in this.</p><p></p><p>Hopefully this help others.</p>
          <div id="umuse-quoted-text-marker">
          <div class="gmail_quote">
            <br>
            On Feb 22 2018, at 10:58 am, Poliman - Serwis <serwis@poliman.pl> wrote:
            <br>
            <blockquote class="gmail_quote"
              style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
              <div dir="ltr">Could you write step by step how you reach the goal?<br /></div><div><br /><div>2018-02-22 15:55 GMT+01:00 Gabriel Kaufmann <span dir="ltr"><<a href="mailto:mailings@typoworx.com" target="_blank">mailings@typoworx.com</a>></span>:<br /><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  

    
  
  <div bgcolor="#FFFFFF">
    <p>I've tried to create an certbot SAN-Cert with multiple
      domain-names and this worked like a charm using one cert for all!
      Thanks!</p>
    <p><br />
    </p>
    <pre cols="72">Best regards

Gabriel Kaufmann</pre>
  </div>

</blockquote></div><br /><br /><br />-- <br /><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><span style="color:rgb(153,153,153)"><i>Pozdrawiam / Best Regards<br /></i></span></div><span style="color:rgb(153,153,153)"><i>Piotr Bracha</i></span><span style="color:rgb(153,153,153)"></span><br /><span style="color:rgb(153,153,153)"></span></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
            </blockquote>
          </div>
          </div>