Создаёте каталог
/var/www/letsencrypt, выдаёте на него права юзеру
www-data, затем в конфиг nginx`а подкладываете вот такой локейшен:
location /.well-known/acme-challenge {
root /var/www/letsencrypt;
}
Сертификат изначально генерируется следующей командой:
certbot certonly --webroot -w /var/www/letsencrypt -d ваш.домен.ру
Для периодического обновления добавляете в крон что-нибудь такое:
0 1 1,15 * * root certbot renew ; /etc/init.d/nginx reload
Про настройку SSL в nginx`е не рассказываю, есть куча гайдов,
например.