[Cloudflare] 内外网同域名强制 https 如何完美实现？

[小天管理]

背景：无公网 IP!

• 在内网访问 a.nb.com 时，通过 openwrt 进行域名劫持，使其指向 nginx 地址，nginx 反向代理至 192.168.xx.xx:xxxx 。由于不想使用 http ，所以申请证书配置到 nginx 以强制进行 https 访问，如此在内网的访问形式为：https://a.nb.com

• 后来，有个小伙伴想要从外网访问我家的服务。查阅相关资料后，排除了 WireGuard 、 zerotier 以及国内小水管服务器中转等方案，选择使用 Cloudflare Tunnel 。

• 配置成功后，a.nb.com 能够在小伙伴的设备上成功访问，速度尚可，能播放 1080p 视频。

但俺有以下几个问题：

• cf 的边缘服务器证书似乎无法下载。内网证书该如何申请？或者写个定时脚本自动申请证书？
• cf 的证书和本地申请的证书能够共存吗？
• 设备之间是否存在 dns 缓存？

需求： 希望实现 https://a.nb.com 外网通过 cf 访问能“回家”，内网直接访问本地服务，并且强制 https 且证书正常。如何实现？望解惑。