предоставить сервису systemd доступ к сертификатам в защищенной папке

Не думаю, что копирование файлов сертификатов из /etc/letsencrypt/live в папку приложения неверно. Я предлагаю вам сделать это, определив собственный сценарий в /etc/letsencrypt/renewal-hooks/deploy папка, которая также будет перезагружать приложение при каждом обновлении соответствующего сертификата. Например:

#!/bin/sh

# /etc/letsencrypt/renewal-hooks/deploy/example-com_deploy.sh

set -e

for domain in $RENEWED_DOMAINS; do
        case $domain in
        example.com)
                daemon_cert_root=/etc/some-daemon/certs

                # Make sure the certificate and private key files are
                # never world readable, even just for an instant while
                # we're copying them into daemon_cert_root.
                umask 077

                cp "$RENEWED_LINEAGE/fullchain.pem" "$daemon_cert_root/$domain.cert"
                cp "$RENEWED_LINEAGE/privkey.pem" "$daemon_cert_root/$domain.key"

                # Apply the proper file ownership and permissions for
                # the daemon to read its certificate and key.
                chown some-daemon "$daemon_cert_root/$domain.cert" \
                        "$daemon_cert_root/$domain.key"
                chmod 400 "$daemon_cert_root/$domain.cert" \
                        "$daemon_cert_root/$domain.key"

                service some-daemon restart >/dev/null
                ;;
        esac
done

Пожалуйста, проверьте этот URL для деталей: https://certbot.eff.org/docs/using.html#renewing-certificates