Посмотрите в сторону этого Pangolin: Self-hosted альтернатива Cloudflare Tunnels с полным контролем над трафиком
да, все верно
Это подход по-умолчанию. certbot можно использовать с dns challenge и выпускать где-угодно вне зависимости от доступности .well-known
В более сложном варианте можно использовать нечто подобное или я слышал про складывание сертификатов в git репозиторий, но точно не монтировать сетевую папку.
Вполне рабочее решение, вот видео от создателя данного ресурса